‼️ CVE-2025-49144: Privilege Escalation в Notepad++ 8.8.1

🧠 Суть уязвимости
Во время установки Notepad++ v8.8.1, установщик запускает зависимости, такие как regsvr32.exe, без указания полного пути. В Windows это означает, что система ищет бинарники согласно Search Order для DLL/EXE, начиная с текущего рабочего каталога.
Если в этом каталоге находится вредоносный файл с нужным именем (например, regsvr32.exe), то он будет запущен с правами SYSTEM — теми же правами, что и сам установщик.

Говорят что POC уже публично доступен😱

🔗https://www.cve.org/CVERecord?id=CVE-2025-49144
🔗 https://youtu.be/qCQlVllAfO0?si=NEKKOSCZbksn4Ata
🦔THF

💻 Go Security Audit

- Ну Го

В последние месяцы сообщество «вайбкодеров» набирает обороты, быстрая разработка прототипов и использование хайповых (или так уже никто не говорит 👀) библиотек стали нормой. Но вместе с ростом популярности приходят и проблемы. С каждым днём существования легкого доступа к LLM требования к качеству и безопасности кода только ужесточаются, и приходится всё внимательнее разбирать каждую строчку - от параметризации запросов и управления таймаутами до корректной работы с токенами, конкурентностью и цепочкой зависимостей.

Далее, я подобрал примеры ошибок, которые допускают не только нейронки, но также и обычные НЕВАЙБ кодеры.


💉 Инъекции — beyond?
Почему важно? Любая конкатенация строки + ввод = дыра.

// Плохо: fmt.Sprintf + Query

query := fmt.Sprintf("SELECT id, email FROM users WHERE email = '%s'", email)
db.Query(query)

// Правильно: PrepareContext + таймаут + закрытие stmt

ctx, cancel := context.WithTimeout(ctx, 200*time.Millisecond)
defer cancel()
stmt, err := db.PrepareContext(ctx, `
  SELECT id, email 
  FROM users 
  WHERE email = $1 AND deleted = FALSE
`)
if err != nil { return err }
defer stmt.Close()
row := stmt.QueryRowContext(ctx, email)

🔵 Контроль таймаута, явное закрытие stmt, фильтрация «мягко удалённых» записей.
🔵 Для Mongo/Redis — запрещайте $where-выражения, ограничивайте глубину BSON и размер документа ( (bson.M{"\$where": …})).


🔑 JWT & ключи — RS256 + кэйсинг заголовков

parser := &jwt.Parser{ValidMethods: []string{"RS256"}}
token, err := parser.ParseWithClaims(tokenStr, &CustomClaims{}, func(t *jwt.Token) (interface{}, error) {
    return publicKey, nil
})

🔵 Отбрасываем HS*-вставки, проверяем alg, jti, nbf, exp.
🔵 Приватные ключи держим в HSM/Vault, ротация через PKCS#11 или Vault Transit.


🗑 unsafe & бинарные протоколы

hdr := (*reflect.SliceHeader)(unsafe.Pointer(&b))
hdr.Len = header.Length
hdr.Cap = header.Length

Только после Code Review - проверка границ, выравнивания и GC-безопасности.


🔗 Зависимости & Supply Chain
🔵 govulncheck в CI/CD с --mode=imports + --mode=versions.
🔵 Go Proxy — свой прокси-миррор, чтобы исключить проблемки.
🔵 Блокировка PR при CVSS >= 8 (или epss/kev/ТЫК) и альтернативные фиксы через replace в go.mod.


🌪 Context & Cancellation — чтобы не "утекал" код
Корректная передача context — базовый стандарт зрелых Go-сервисов.

// Создаём контекст с дедлайном для HTTP-запроса
ctx, cancel := context.WithTimeout(parentCtx, 2*time.Second)
defer cancel()  // обязательный вызов!
req, _ := http.NewRequestWithContext(ctx, http.MethodGet, url, nil)
_, err := http.DefaultClient.Do(req)

🔵 Никогда не забывать defer cancel(), даже при раннем return


🏎 Concurrency & Data Races — -race, sync vs atomic

// две горутины одновременно плюсуют visits
var visits int
go func() { visits++ }()
go func() { visits++ }()

Запуск go test -race в CI обнаружит такие случаи

Очень требовательно к ресурсам и не рекомендуется в монолитах или говно-микросервисах

// Правильно:
// С Mutex
var (
    visitsMu sync.Mutex
    visits   int
)
go func() {
    visitsMu.Lock()
    visits++
    visitsMu.Unlock()
}()

// Или атомарно
var visitsAtomic uint64
go func() {
    atomic.AddUint64(&visitsAtomic, 1)
}()

❌ Panic Recovery & Fault Tolerance — graceful failover
Паника в одном handler’е не должна убивать весь HTTP-сервер:

func recoveryMiddleware(next http.Handler) http.Handler {
    return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
        defer func() {
            if rec := recover(); rec != nil {
                log.Error().
                    Interface("penic", rec).
                    Msg("recovered from penic xD in handler")
                http.Error(w, "internal error", http.StatusInternalServerError)
            }
        }()
        next.ServeHTTP(w, r)
    })
}

🔵 Прокидываем middleware на самый верх стека роутинга


🗒 Выводы
Их не будет, просто примеры из практики. Смотрите внимательнее, что вам выдаёт chatgpt или аналоги.

Добра и позитива appsec-ам, остальным соболезную 💥