🔍 Наиболее интересные уязвимости

🐛 CVE-2025-67750, обнаруженная в Lightning Flow Scanner (версии 6.10.5 и ниже), приводит к Code Injection. Проблема заключалась в использовании new Function() для оценки строк выражений, что позволяло злоумышленнику внедрить вредоносное выражение в конфигурацию правила или метаданные потока. В исправлении удалены все виды использования new Function(), также добавлена проверка выражений.

🐛 CVE-2025-67728, обнаруженная в Fireshare (версии 1.2.30 и ниже), приводит к Remote Code Execution (RCE). Проблема заключалась в конкатенации вредоносного имени файла непосредственно в shell-команду, что позволяло выполнять системные команды. В исправлении перевели вызовы на безопасную форму без shell, а также добавили secure_filename() для нормализации пользовательских имён файлов.

🐛 CVE-2025-66492, обнаруженная в Masa CMS (версии 7.2.8 и ниже, 7.3.1–7.3.13, 7.4.0-alpha.1–7.4.8 и 7.5.0–7.5.1), приводит к Cross-Site Scripting (XSS). Проблема заключалась в том, что несанитизированное значение параметра ajax URL напрямую включалось в секцию <head> HTML-страницы. В исправлении rc.ajax, значение которого могло браться напрямую из параметра запроса, поменяли на request.ajax, контролируемый сервером.

🐛 CVE-2025-67644, обнаруженная в LangGraph SQLite Checkpoint (версии 3.0.0 и ниже), приводит к SQL Injection. Проблема заключалась в интерполяции ключей фильтра метаданных напрямую в f-строки без валидации в функции _metadata_predicate(). В исправлении добавили _validate_filter_key() с whitelist-регэксом для сегментов ключа, а также сделали LIMIT параметризованным (LIMIT ?)

🐛 CVE-2025-66645, обнаруженная в NiceGUI (версии 3.3.1 и ниже), приводит к Path Traversal. Проблема заключалась в отсутствии ограничения пути в функции App.add_media_files(), что позволяло удалённому злоумышленнику читать произвольные файлы на сервере. В исправлении добавили валидацию передаваемых значений с помощью методов .resolve() и .is_relative_to()

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-65950, обнаруженная в WBCE CMS (версии 1.6.4 и ниже), приводит к SQL Injection. Проблема заключалась в неправильной обработке параметра groups в файле admin/users/save.php, что позволяло выполнять произвольные SQL-запросы. В исправлении добавили «whitelist» по группам: сервер сверяет отправленные groups[] с группами текущего пользователя из сессии.

🐛 CVE-2025-68155, обнаруженная в @vitejs/plugin-rs (в версиях до 0.5.8), приводит к Path Traversal. Проблема заключалась в том, что endpoint /__vite_rsc_findSourceMapURL позволял неаутентифицированное чтение произвольных файлов через параметр filename с использованием file://. В исправлении добавили проверку c помощью метода isFileLoadingAllowed() из пакета Vite.

🐛 CVE-2025-68147, обнаруженная в Open Source Point of Sale (версии с 3.4.0 по 3.4.2), приводит к Cross-site Scripting (XSS). Проблема заключалась в отсутствии должной очистки пользовательского ввода в поле Return Policy, что позволяло внедрять произвольный JS-код. В исправлении добавлено экранирование вывода с помощью функции esc().

🐛 CVE-2025-68154, обнаруженная в systeminformation (версии до 5.27.14), приводит к OS Command Injection. Проблема заключалась в конкатенации параметра drive в команду PowerShell без санитизации, что позволяет выполнить произвольные команды при передаче пользовательского ввода в функцию fsSize(). В исправлении добавлена санитизация входных данных с помощью метода util.sanitizeShellString().

🐛 CVE-2025-68613, обнаруженная в n8n (версии с 0.211.0 до 1.120.4, 1.121.1, и 1.122.0), приводит к Remote Code Execution (RCE). Проблема заключалась в недостаточной изоляции контекста выполнения выражений, что позволяло аутентифицированным пользователям выполнять произвольный код. В исправлении усилили sandbox: добавили sanitizer, который переписывает IIFE с function(){...}() на вызов через .call(EMPTY_CONTEXT, ...), добавили в "черный" список свойств объекта новые сущности