Сегодня проснулся и обнаружил на почте приятную новость: уязвимости, которую я репортил в прошлом месяце, присвоили идентификатор CVE. Я не в первый раз вношу вклад в безопасность продуктов с открытым исходным кодом, но это моя первая CVE. Жизнь после этого не изменилась, но для себя я поставил галочку. Кому интересно — идентификатор: CVE-2025-32789.

Пару слов о интеллектуальной собственности. Иногда бывает, что во время теста на проникновение находятся уязвимости в исходном коде третьей стороны. Эта уязвимость попадает в отчёт для заказчика, и информация о ней становится его интеллектуальной собственностью. Дальше заказчик принимает решение, что делать с этой информацией. На моей практике заказчик часто решает проигнорировать проблему. По факту компания сама себе запрещает раскрывать подробности из отчёта третьей стороне без разрешения юридического отдела. А юридический отдел не видит важности в таком мероприятии. Из-за этого уязвимость в продукте кочует из одной версии в другую. Получается замкнутый круг: уязвимость будет исправлена, если появится патч, а патч не появится, потому что никто не сообщает об уязвимости.

Когда я начинал работу над проектом HackerHub, мне пришлось с нуля реализовать практически весь функционал. За время существования проекта были разработаны инструменты и библиотеки, которые я хотел бы сделать доступными для сообщества. Недавно я опубликовал исходный код сервиса, отвечающего за запуск лабораторных работ на сайте hackerhub.pro.

Вместе с публикацией кода я запустил публичную Bug Bounty программу. Надеюсь, что с её помощью удастся совместными усилиями выявить и устранить возможные уязвимости и недостатки продукта.

Ссылка на публичную программу: https://hackerhub.pro/bugbounty/8/