CVE-2025-11953 — unauth RCE из-за уязвимой зависимости в React Native
#CVE #RCE #PoC #developer #dev #metro #react #ReactNative
Metro Development Server, используемый в React Native CLI, по умолчанию слушает все сетевые интерфейсы (
На Linux и macOS open вызывает команды
Проблема связана с тем, что React Native CLI запускает Metro Development Server, который использует уязвимый open-пакет для обработки
Уязвимый пакет:
Уязвимые версии: 4.8.0 — 20.0.0-alpha.2
CVSS: 9.8
➡️ Последовательность атаки
- Атакующий отправляет специально сформированный POST-запрос
- Metro сервер, доступный из внешней сети, принимает запрос.
- Введенные данные передаются в функцию open(), вызывающую системные команды без защиты.
- Атакующий получает возможность запускать произвольные команды — например, открыть calc.exe или создать файл pwned.txt.
Для проверки уязвимости можно использовать команды
➡️ Рекомендации
- Срочно обновить пакеты до версии 20.0.0 или выше, где уязвимость исправлена.
- Если обновление невозможно, запускать Metro сервер с привязкой к localhost (
- Проводить аудит зависимостей и сканирование цепочек поставок (SBOM) для выявления уязвимых версий и подозрительных модулей.
🔗 Источник
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#CVE #RCE #PoC #developer #dev #metro #react #ReactNative
Metro Development Server, используемый в React Native CLI, по умолчанию слушает все сетевые интерфейсы (
0.0.0.0), что делает его доступным из внешних сетей. В сервер встроен эндпоинт POST /open-url, который принимает JSON с полем url. Значение этого поля напрямую передаётся в функцию open(url) из npm-пакета open (версия 6.4.0), которая на Windows вызывает cmd.exe без экранирования аргументов, позволяя выполнить произвольные системные команды с полным контролем параметров, например, запуск calc.exe или создание файла htb-easy-lol.txt.На Linux и macOS open вызывает команды
xdg-open и open без использования shell, аргументы передаются как отдельные параметры, поэтому прямой command injection затруднен. Для полноценного удалённого выполнения команд на этих системах требуются дополнительные уязвимости или эксплуатация особенностей URI-схем, таких как запуск локальных файлов через file://.Проблема связана с тем, что React Native CLI запускает Metro Development Server, который использует уязвимый open-пакет для обработки
/open-url, открывая путь к удалённому выполнению кода в среде разработки. Это критично, так как dev-сервер в ряде случаев доступен из внешних сетей и обрабатывает команды без защиты. Признайтесь, делали же проекты на 5 минут и потом это висело месяц в проде?)Уязвимый пакет:
@react-native-community/cli-server-api и @react-native-community/cliУязвимые версии: 4.8.0 — 20.0.0-alpha.2
CVSS: 9.8
- Атакующий отправляет специально сформированный POST-запрос
POST /open-url HTTP/1.1
Host: vulnerable-dev-server:8081
Content-Type: application/json
Content-Length: <length>
{
"url": "calc.exe"
}
- Metro сервер, доступный из внешней сети, принимает запрос.
- Введенные данные передаются в функцию open(), вызывающую системные команды без защиты.
- Атакующий получает возможность запускать произвольные команды — например, открыть calc.exe или создать файл pwned.txt.
Для проверки уязвимости можно использовать команды
npm list @react-native-community/cli-server-api и убедиться в используемой версии.- Срочно обновить пакеты до версии 20.0.0 или выше, где уязвимость исправлена.
- Если обновление невозможно, запускать Metro сервер с привязкой к localhost (
npx react-native start --host 127.0.0.1), чтобы заблокировать доступ извне.- Проводить аудит зависимостей и сканирование цепочек поставок (SBOM) для выявления уязвимых версий и подозрительных модулей.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15🌚5👾2
Рунету быть?
Постановление Правительства Российской Федерации от 27.10.2025 № 1667 "Об утверждении Правил централизованного управления сетью связи общего пользования"
Правительство утвердило правила «централизованного управления» Рунетом. Решения будут совместно принимать Минцифры, РКН и ФСБ. Они смогут вводить:
• Обязательную фильтрацию трафика
• Блокировать ресурсы
• Полную изоляцию Рунета от мировой сети
Новые правила вступают в силу с 1 марта 2026 и до 1 марта 2032 года.
Интересно, что документ датирован 27 октября, а судя по дате на сайте опубликовали его только 6 ноября🌚
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
Постановление Правительства Российской Федерации от 27.10.2025 № 1667 "Об утверждении Правил централизованного управления сетью связи общего пользования"
Правительство утвердило правила «централизованного управления» Рунетом. Решения будут совместно принимать Минцифры, РКН и ФСБ. Они смогут вводить:
• Обязательную фильтрацию трафика
• Блокировать ресурсы
• Полную изоляцию Рунета от мировой сети
Новые правила вступают в силу с 1 марта 2026 и до 1 марта 2032 года.
Интересно, что документ датирован 27 октября, а судя по дате на сайте опубликовали его только 6 ноября
Please open Telegram to view this post
VIEW IN TELEGRAM
💔22
Ловите вкусные баги прошедшей недели
#CVE #RCE #calibre #SQLi #NVIDIA #POS
➡️ Цепочка SQLi в системе управления точками продаж ycf1998 money-pos (CVE-2025-63689, CVSS 10,0) — плохая фильтрация параметра orderby, используемого в SQL-запросах для сортировки данных. Злоумышленник без привилегий и без авторизации может внедрить в этот параметр произвольный SQL-код, что открывает двери для RCE, кражи, изменения или удаления БД, а также полной компрометации системы. Потенциально позволяет атакующему взять под полный контроль POS-устройства. Публичных PoC пока нет.
➡️ calibre (CVE-2025-64486, CVSS 9,8) — критический баг в calibre версий 8.13.0 и ниже, связанный с отсутствием проверки имен файлов при обработке формата FB2 (FictionBook). Позволяет атакующему при помощи специально созданного FB2-файла записывать произвольные файлы в файловую систему, что может привести к выполнению произвольного кода с правами пользователя, под которым запущен calibre. Публичных PoC пока нет.
➡️ RCE в Snipe-IT (CVE-2025-63601, CVSS 9,9) — уязвимость вызвана отсутствием надежной проверки содержимого и структуры загружаемых файлов резервных копий в Snipe-IT. Сервер неправильно обрабатывает архивы, позволяя внедрять и выполнять произвольные файлы и команды при их распаковке, что создает возможность для RCE с правами сервера и полной компрометации системы. Публичных PoC пока нет.
➡️ Установщик NVIDIA NVApp для Windows (CVE-2025-23358, CVSS 8,2) — возникает из-за неправильного управления путями поиска исполняемых файлов и DLL. Позволяет локальному атакующему с низкими правами разместить вредоносный файл в каталоге, который загружается раньше легитимных компонентов, что приводит к выполнению произвольного кода с правами установщика и эскалации привилегий. Публичных PoC пока нет.
➡️ WordPress-плагин Gravity Forms (CVE-2025-12352, CVSS 9,8) — критическая уязвимость, связанная с отсутствием проверки типа загружаемых файлов в функции
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#CVE #RCE #calibre #SQLi #NVIDIA #POS
copy_post_image(). Позволяет неавторизованному атакующему загрузить на сервер произвольные файлы, включая PHP-скрипты, что при включенной опции allow_url_fopen и активации формы создания постов с полем для файлов приводит к RCE. Есть PoC.Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥9🔥3👍2
Ограничения на длину URL и HTTP-заголовков можно использовать для эскалации XSS уязвимостей и захвата аккаунтов
#XSS #URL #HTTP
Веб-серверы накладывают жесткие лимиты на максимальный размер URL и HTTP-заголовков, при превышении которых возвращаются ошибки 414 или 431. В описываемой атаке сессионные токены передаются через URL или заголовки, и превышение лимитов прерывает редиректы, что позволяет атакующему получить URL с токеном сессии.
➡️ Суть бага
Уязвимость связана с недостаточной фильтрацией URL, заголовков и передачей конфиденциальных данных через URL. Это нарушает обработку запросов и дает доступ к сессионным токенам. Отсутствие адекватной обработки ошибок и плохая архитектура междоменной авторизации усиливают риск полного захвата аккаунта. Проблема осложняется слабой изоляцией сессий и надежным контролем безопасности в редиректах и cookie.
➡️ Сценарии атаки
При ошибке 414:
атакующий находит XSS на двух связанных сайтах с общей системой авторизации,
через XSS формирует URL с максимально длинным параметром возврата,
при редиректе сессионный токен добавляется к URL, превышая лимит,
сервер возвращает ошибку 414, прерывая цепочку редиректов,
атакующий перехватывает URL с токеном для кражи сессии.
При ошибке 431:
на сервере работает middleware, устанавливающий cookie.
атакующий очищает cookie и создает несколько больших cookie для превышения лимита заголовков,
при следующем запросе сервер возвращает ошибку 431, прерывая цепочку редиректов,
токен сессии появляется в URL.
➡️ Как защититься
Не передавать сессионные токены в URL.
Использовать защищенные HttpOnly и Secure куки.
Ограничивать длину URL и заголовков, при превышении лимитов не вызывать ошибки 414/431, а реализовывать безопасные редиректы (например, с кодом 302).
Фильтровать строго разрешенные пути и параметры URL.
Изолировать сессии разных доменов и предотвращать XSS через валидацию и Content Security Policy.
🔗 Источник
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#XSS #URL #HTTP
Веб-серверы накладывают жесткие лимиты на максимальный размер URL и HTTP-заголовков, при превышении которых возвращаются ошибки 414 или 431. В описываемой атаке сессионные токены передаются через URL или заголовки, и превышение лимитов прерывает редиректы, что позволяет атакующему получить URL с токеном сессии.
Уязвимость связана с недостаточной фильтрацией URL, заголовков и передачей конфиденциальных данных через URL. Это нарушает обработку запросов и дает доступ к сессионным токенам. Отсутствие адекватной обработки ошибок и плохая архитектура междоменной авторизации усиливают риск полного захвата аккаунта. Проблема осложняется слабой изоляцией сессий и надежным контролем безопасности в редиректах и cookie.
При ошибке 414:
атакующий находит XSS на двух связанных сайтах с общей системой авторизации,
через XSS формирует URL с максимально длинным параметром возврата,
при редиректе сессионный токен добавляется к URL, превышая лимит,
сервер возвращает ошибку 414, прерывая цепочку редиректов,
атакующий перехватывает URL с токеном для кражи сессии.
При ошибке 431:
на сервере работает middleware, устанавливающий cookie.
атакующий очищает cookie и создает несколько больших cookie для превышения лимита заголовков,
при следующем запросе сервер возвращает ошибку 431, прерывая цепочку редиректов,
токен сессии появляется в URL.
Не передавать сессионные токены в URL.
Использовать защищенные HttpOnly и Secure куки.
Ограничивать длину URL и заголовков, при превышении лимитов не вызывать ошибки 414/431, а реализовывать безопасные редиректы (например, с кодом 302).
Фильтровать строго разрешенные пути и параметры URL.
Изолировать сессии разных доменов и предотвращать XSS через валидацию и Content Security Policy.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤🔥5🌚3
Cl0p Ransomware эксплуатирует 0-day уязвимость в Oracle E-Business Suite
#Cl0p #ransom #ransomware #suricata #waf #sigma #splunk #blue_team #oracle #C2 #IoC
В мае–июне 2023 года кибергруппа Clop организовала одну из самых резонансных кампаний последних лет: эксплойт уязвимости в популярном ПО для передачи файлов Progress MOVEit привёл к массовой компрометации данных у сотен организаций по всему миру. Это была не локальная утечка — это был сценарий «одна уязвимость → множество жертв»: операторская модель Clop позволила быстро выявлять ценные цели, извлекать гигабайты конфиденциальной информации и ставить перед пострадавшими двоякую дилемму — платить выкуп или рисковать публичной публикацией похищенных данных. Масштаб инцидента, его влияние на цепочки поставок и скорость распространения показали, насколько уязвимы современные централизованные сервисы и как одно скомпрометированной программное решение может стать инструментом «big game hunting». В этой статье мы подробно разберём ход кампании Clop, её последствия для корпоративной безопасности и уроки, которые должны усвоить организации, чтобы снизить риск повторения подобных событий.
CL0P — давняя криминальная группа, работающая в модели ransomware-as-a-service и специализирующаяся на масштабных операциях вымогательства: кража данных, массовые письма руководству и публичное давление через публикацию похищенного. В истории группы — крупные кампании против сервисов для обмена файлами и корпоративных платформ; типичная их тактика сочетает автоматизированное сканирование уязвимых сервисов, тихую эксфильтрацию ценных данных и последующие требования выкупа с угрозой публикации.
С конца августа — начала октября 2025 года исследователи зафиксировали активность против установок Oracle E-Business Suite, а в начале октября появились сообщения о массовых рассылках вымогательных писем руководству и о подтвержденных случаях эксплуатации критической уязвимости CVE-2025-61882. Хронология: первоначальное сканирование и обнаружение уязвимых инсталляций — эксплуатация уязвимости для получения доступа — закрепление присутствия и сбор/эксфильтрация данных — массовая рассылка доказательств похищения и вымогательство.
Модель атаки повторяет устоявшийся паттерн CL0P: автоматизированная разведка интернет-видимых сервисов, эксплуатация уязвимости (unauth RCE или аналогичный вектор) для входа в систему, распространение внутри сети и вытягивание критичных баз и отчётов, затем давление на руководство через публикации и целевые письма (double-extortion). Из-за широкой распространенности затронутого ПО и автоматизации рассылок такой подход позволяет быстро затронуть большое количество организаций и наносит значительные операционные и репутационные потери.
🔗 blog.poxek
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#Cl0p #ransom #ransomware #suricata #waf #sigma #splunk #blue_team #oracle #C2 #IoC
В мае–июне 2023 года кибергруппа Clop организовала одну из самых резонансных кампаний последних лет: эксплойт уязвимости в популярном ПО для передачи файлов Progress MOVEit привёл к массовой компрометации данных у сотен организаций по всему миру. Это была не локальная утечка — это был сценарий «одна уязвимость → множество жертв»: операторская модель Clop позволила быстро выявлять ценные цели, извлекать гигабайты конфиденциальной информации и ставить перед пострадавшими двоякую дилемму — платить выкуп или рисковать публичной публикацией похищенных данных. Масштаб инцидента, его влияние на цепочки поставок и скорость распространения показали, насколько уязвимы современные централизованные сервисы и как одно скомпрометированной программное решение может стать инструментом «big game hunting». В этой статье мы подробно разберём ход кампании Clop, её последствия для корпоративной безопасности и уроки, которые должны усвоить организации, чтобы снизить риск повторения подобных событий.
CL0P — давняя криминальная группа, работающая в модели ransomware-as-a-service и специализирующаяся на масштабных операциях вымогательства: кража данных, массовые письма руководству и публичное давление через публикацию похищенного. В истории группы — крупные кампании против сервисов для обмена файлами и корпоративных платформ; типичная их тактика сочетает автоматизированное сканирование уязвимых сервисов, тихую эксфильтрацию ценных данных и последующие требования выкупа с угрозой публикации.
С конца августа — начала октября 2025 года исследователи зафиксировали активность против установок Oracle E-Business Suite, а в начале октября появились сообщения о массовых рассылках вымогательных писем руководству и о подтвержденных случаях эксплуатации критической уязвимости CVE-2025-61882. Хронология: первоначальное сканирование и обнаружение уязвимых инсталляций — эксплуатация уязвимости для получения доступа — закрепление присутствия и сбор/эксфильтрация данных — массовая рассылка доказательств похищения и вымогательство.
Модель атаки повторяет устоявшийся паттерн CL0P: автоматизированная разведка интернет-видимых сервисов, эксплуатация уязвимости (unauth RCE или аналогичный вектор) для входа в систему, распространение внутри сети и вытягивание критичных баз и отчётов, затем давление на руководство через публикации и целевые письма (double-extortion). Из-за широкой распространенности затронутого ПО и автоматизации рассылок такой подход позволяет быстро затронуть большое количество организаций и наносит значительные операционные и репутационные потери.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Russian OSINT
cybersecurity-forecast-2026-en.pdf
2 MB
В основе грядущих трансформаций лежит повсеместное внедрение искусственного интеллекта, который станет главным инструментом как для атакующих, так и для защитников. Одновременно с этим, финансово мотивированная киберпреступность и операции государственных субъектов сохранят свой разрушительный потенциал.
Злоумышленники активно осваивают ИИ-сервисы для масштабирования атак, используя большие языковые модели для социальной инженерии и разработки вредоносного ПО. Отчет особо выделяет «инъекцию подсказок» как уже существующую и растущую угрозу, позволяющую манипулировать ИИ-решениями в обход их протоколов безопасности.
Кроме того, аналитики предвидят «смену парадигмы ИИ-агентов», что потребует от организаций создания совершенно новых систем управления цифровыми идентичностями для автономных ИИ-агентов.
По мнению вице-президента Google Threat Intelligence Сандры Джойс: «Мы ожидаем увидеть больше программ-вымогателей и вымогательства. Эта проблема продолжится и усугубится в 2026 году».
1️⃣ Масштабный переход к использованию ИИ-технологий: к 2026 году использование ИИ злоумышленниками станет нормой. Повысится скорость, масштаб и эффективность таких атак.
2️⃣ Рост атак с использованием «prompt injection»: атаки на корпоративные ИИ-системы перейдут от концептуальных эксплойтов к крупномасштабным кампаниям по хищению данных.
3️⃣ Гиперреалистичный вишинг: ИИ-агенты, способные клонировать голос, будут активно использоваться для создания поддельных образов руководителей и ИТ-персонала в целях социальной инженерии.
4️⃣ Риск «теневых агентов»: неконтролируемое использование сотрудниками мощных ИИ-агентов станет критической проблемой, ведущей к утечкам данных, нарушениям комплаенса и краже интеллектуальной собственности.
5️⃣ Доминирование локеров (ransomware): связка использования программ-вымогателей и хищения данных останется
6️⃣ Атаки на виртуализацию: злоумышленники сместят фокус на базовую инфраструктуру виртуализации (гипервизоры), обходя традиционные средства защиты на уровне гостевых систем.
7️⃣ Ончейн-экономика киберпреступности: преступные операции начнут мигрировать на публичные блокчейны для обеспечения устойчивости к попыткам их пресечения.
8️⃣ Эволюция киберопераций России: по мнению Google, прогнозируется смена фокуса от краткосрочных тактических целей к
9️⃣ Приоритеты 🇨🇳Китая: кибероперации будут сосредоточены на шпионаже в секторе полупроводников из-за глобальной конкуренции и экспортных ограничений.
🔟 Финансовые цели 🇰🇵Северной Кореи: Государственные хакеры активизируют атаки на криптовалютные организации, опираясь на прошлые успехи, включая крупнейшую зафиксированную кражу криптовалюты на сумму около $1.5 миллиарда.
ИИ-агенты будут рассматриваться как отдельные
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤🔥4🔥3🤯2
Помните gpt-4o и её "дружелюбность"? Теперь это будет gpt-5.1
Спасибо за внимание ᕕ( ᐛ )ᕗ
Спасибо за внимание ᕕ( ᐛ )ᕗ
Forwarded from PURP (Pr0xProw)
Не то чтобы там было что-то критически важное. Но новость то какая!
Несколько дней назад зарубежные издания писали, что Apple развернула обновленный веб-интерфейс AppStore на базе Svelte framework и TypeScript. Как вскоре выяснилось, при деплое в прод компания оставила активными sourcemap-файлы. Это файлы сопоставления между минифицированным кодом и оригинальными исходниками.
Эти sourcemaps (.map) содержат JSON-структуру, позволяющую восстановить исходный код из обфусцированной продакшен-сборки. В штатном режиме они генерируются на этапе build для упрощения отладки. Но из прода должны выпиливаться через соответствующие флаги сборщика (webpack/vite/rollup).
В случае с Apple sourcemaps остались доступны по прямым URL и автоматически загружались браузерными DevTools при открытии вкладки Sources. Это позволило извлечь полную кодовую базу фронтенда:
Извлеченный код был опубликован на GitHub, но быстро удален по требованию DMCA. Так что я нашел вам копию этого репозитория на Codeberg от исследователя JoanVC, первым обнаружившего утечку.
#red_team #Apple
Please open Telegram to view this post
VIEW IN TELEGRAM
Новые CVE в runc позволяют обойти изоляцию контейнера и получить root на хост-системе
#CVE #racecondition #runc #Docker #Kubernetes #root
runc (базовый инструмент запуска контейнеров в Docker и Kubernetes) содержит три критические уязвимости типа race condition. При успешной эксплуатации они позволяют обойти проверки монтирования и записи в системные интерфейсы procfs и sysfs, что открывает возможность выполнения кода с правами root на хосте.
1. CVE-2025-31133 — некорректнаяя обработка maskedPaths позволяет перенаправлять монтируемые пути, обеспечивая доступ к критичным ресурсам хоста и запись в procfs из контейнера. Есть PoC.
2. CVE-2025-52565 и CVE-2025-52881 — гонки при монтировании
➡️ Как проходит атака
1. Атакующий запускает контейнер на уязвимой версии runc с контролем параметров монтирования.
2. Внутри контейнера инициируется серия операций монтирования, специально спроектированных как TOCTOU гонка.
3. В окне гонки злоумышленник подменяет монтируемый источник или вызывает последовательность операций, в результате чего проверки пропускают некорректное примонтирование на
4. После успешной подмены атакующий записывает значения в файлы вроде
🪲 Пример PoC на bash лежит в комментариях.
➡️ Как защититься
1. Срочно обновить runc до версии 1.2.8, 1.3.3, 1.4.0-rc.3 или выше.
2. Включить user namespaces для контейнеров (ограничивает права на запись в procfs).
3. Использовать rootless контейнеры, чтобы минимизировать возможности атак.
4. Ограничить права запуска контейнеров и тщательно аудитировать параметры монтирования.
5. Следить за обновлениями платформ Docker, Kubernetes и runc, применять рекомендованные патчи и конфигурации безопасности.
🔗 Источник
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#CVE #racecondition #runc #Docker #Kubernetes #root
runc (базовый инструмент запуска контейнеров в Docker и Kubernetes) содержит три критические уязвимости типа race condition. При успешной эксплуатации они позволяют обойти проверки монтирования и записи в системные интерфейсы procfs и sysfs, что открывает возможность выполнения кода с правами root на хосте.
1. CVE-2025-31133 — некорректнаяя обработка maskedPaths позволяет перенаправлять монтируемые пути, обеспечивая доступ к критичным ресурсам хоста и запись в procfs из контейнера. Есть PoC.
2. CVE-2025-52565 и CVE-2025-52881 — гонки при монтировании
/dev/console или /dev/null позволяют обходить механизмы LSM и монтировать защищенные файлы /proc для последующей модификации. Публичных PoC для этих CVE не найдено.1. Атакующий запускает контейнер на уязвимой версии runc с контролем параметров монтирования.
2. Внутри контейнера инициируется серия операций монтирования, специально спроектированных как TOCTOU гонка.
3. В окне гонки злоумышленник подменяет монтируемый источник или вызывает последовательность операций, в результате чего проверки пропускают некорректное примонтирование на
/proc или /sys.4. После успешной подмены атакующий записывает значения в файлы вроде
/proc/sys/kernel/core_pattern или вызывает sysctl-подобные интерфейсы, что приводит к выполнению кода/эскалации на хосте.1. Срочно обновить runc до версии 1.2.8, 1.3.3, 1.4.0-rc.3 или выше.
2. Включить user namespaces для контейнеров (ограничивает права на запись в procfs).
3. Использовать rootless контейнеры, чтобы минимизировать возможности атак.
4. Ограничить права запуска контейнеров и тщательно аудитировать параметры монтирования.
5. Следить за обновлениями платформ Docker, Kubernetes и runc, применять рекомендованные патчи и конфигурации безопасности.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13
Django: критическая SQLi-уязвимость с обходом аутентификации
#django #sqli #CVE #python
CVE-2025-64459 - критическая SQL-инъекция в Django (CVSS 9.1), затрагивающая методы
Имеет низкую сложность эксплуатации, не требует аутентификации и взаимодействия с пользователем.
Под угрозой находятся версии Django 5.2 < 5.2.8, Django 5.1 < 5.1.14, Django 4.2 < 4.2.26, ветка 6.0 (beta). Старые неподдерживаемые версии также могут быть уязвимы.
➡️ Структура атаки
Уязвимость возникает при использовании dictionary expansion с пользовательским вводом. Для проведения атаки необходимо поместить нужные параметры в URL query string (GET-параметры) или POST-данные API-запросов, которые затем попадают в Django QuerySet методы через dictionary expansion.
Типичный уязвимый паттерн
Сценарии эксплуатации
Обход аутентификации -
Эксфильтрация данных -
Эскалация привилегий -
➡️ Защита и срочные действия
1. Обновиться до патченных версий (5.2.8, 5.1.14, 4.2.26)
2. Проверить логи на _connector и _negated в запросах
3. Аудит кода:
4. Никогда не передавать
5. Использовать Django Forms для валидации
6. Внедрить whitelisting параметров фильтрации
7. Явное маппирование полей вместо dictionary expansion
🔗 Источник
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#django #sqli #CVE #python
CVE-2025-64459 - критическая SQL-инъекция в Django (CVSS 9.1), затрагивающая методы
QuerySet.filter(), QuerySet.exclude(), QuerySet.get() и класс Q(). Позволяет удаленному не аутентифицированному атакующему получить админский доступ в обход аутентификации, эксфильтровать конфиденциальные данные и эскалировать привилегии.Имеет низкую сложность эксплуатации, не требует аутентификации и взаимодействия с пользователем.
Под угрозой находятся версии Django 5.2 < 5.2.8, Django 5.1 < 5.1.14, Django 4.2 < 4.2.26, ветка 6.0 (beta). Старые неподдерживаемые версии также могут быть уязвимы.
Уязвимость возникает при использовании dictionary expansion с пользовательским вводом. Для проведения атаки необходимо поместить нужные параметры в URL query string (GET-параметры) или POST-данные API-запросов, которые затем попадают в Django QuerySet методы через dictionary expansion.
Типичный уязвимый паттерн
filters = request.GET.dict() # user-controlled data
users = User.objects.filter(**filters) # passes all params
Сценарии эксплуатации
Обход аутентификации -
_connector=OR&is_superuser=True возвращает первого найденного суперпользователя, минуя проверку кредовЭксфильтрация данных -
_connector=OR&confidential=True дает доступ ко всем конфиденциальным документамЭскалация привилегий -
_negated=True дает инверсию логики контроля доступа1. Обновиться до патченных версий (5.2.8, 5.1.14, 4.2.26)
2. Проверить логи на _connector и _negated в запросах
3. Аудит кода:
grep -r "\.filter(\*\*" --include="*.py" .4. Никогда не передавать
request.GET.dict() напрямую в QuerySet5. Использовать Django Forms для валидации
6. Внедрить whitelisting параметров фильтрации
7. Явное маппирование полей вместо dictionary expansion
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11❤🔥5
Как лично вы боретесь с тем, что все приложения пытаются контролировать ваше внимание и слишком много бесполезного контента?
Ловите вкусные баги прошедшей недели
#CVE #IBM #unauthRCE #0click #IBM #Tenda #FortiWeb
➡️ IBM AIX 7.2, 7.3 и IBM VIOS 3.1, 4.1 (CVE-2025-36250, CVSS 10,0) — критическая 0-click уязвимость, затрагивающая NIM server service (nimesis, ранее NIM master) и связанная с некорректным контролем процессов. Позволяет неаутентифицированному атакующему выполнить произвольные команды на системе через URL-запрос. Имеет низкую сложность эксплуатации, не требует привилегий и позволяет выйти за пределы контекста безопасности с полной компрометацией конфиденциальности, целостности и доступности enterprise-grade систем. Расширяет вектора атаки ранее закрытой CVE-2024-56346.
➡️ Роутер D-Link DIR-816L (CVE-2025-13191, CVSS 8,8) — stack-based buffer overflow в функции soapcgi_main файла /soap.cgi. Позволяет аутентифицированному удаленному атакующему с низкими привилегиями выполнить произвольный код через манипуляцию входными данными SOAP-запроса без взаимодействия с пользователем. Затрагивает beta-версию firmware 2_06_b09_beta, которая больше не поддерживается производителем, так что патча не будет.
➡️ MFortinet FortiWeb (CVE-2025-64446, CVSS 9.8/10.0) — критическая 0day с активной эксплуатацией. Relative path traversal в CGI endpoint
➡️ Typebot, open-source платформа для создания чатботов (CVE-2025-64709, CVSS 9.6) — Server-Side Request Forgery (SSRF) в webhook block (HTTP Request component). Аутентифицированный пользователь может выполнять произвольные HTTP-запросы с сервера, включая доступ к AWS Instance Metadata Service (IMDS). Обход защиты IMDSv2 через инъекцию кастомных заголовков позволяет извлечь временные AWS IAM credentials для EKS node role и получить полный контроль над Kubernetes-кластером.
➡️ Tenda AC20 роутеры на firmware (CVE-2025-13258, CVSS 8.8) — stack-based buffer overflow в эндпоинте /goform/WifiExtraSet. Параметр wpapsk_crypto копируется в фиксированный стековый буфер через небезопасные функции типа strcpy без проверки длины. Неаутентифицированный атакующий может отправить HTTP POST-запрос с избыточно длинным значением для переполнения буфера и достижения RCE или DoS. Есть PoC.
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#CVE #IBM #unauthRCE #0click #IBM #Tenda #FortiWeb
/api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi позволяет неаутентифицированному атакующему создавать административные аккаунты и выполнять произвольные команды через HTTP POST-запросы. Есть PoC.Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10❤🔥3
Venom C2 — легкое кроссплатформенное решение для командного управления
#redteam #Venom #Python #Flask
Проект позиционируется как утилитарный инструмент для постэксплуатации в условиях, где установка пакетов нежелательна: сервер на Flask, операторский GUI на Electron и однобайтовый (single-file) агент на чистом Python, который передаёт AES-зашифрованные JSON-сообщения по HTTP(S).
➡️ Архитектура разделена на три части
▪️ Сервер (Flask-приложение) — управляет соединениями агентов, хранит историю команд, предоставляет API для GUI и выдает конфигурации.
▪️ Операторский клиент (Electron) — кроссплатформенная оболочка для работы с сервером: просмотр сессий, выполнение команд, загрузка/выкачка файлов и создание туннелей SSH.
▪️ Агент (single-file Python) — минималистичный скрипт без внешних библиотек, выполняющий команды оболочки, работу с файлами, создание reverse-SSH, sleep с джиттером и пр.
Ключевая идея — запуск агента на хосте без установки зависимостей. Это упрощает развертывание на экзотических дистрибутивах или минимальных образах, где инструментам вроде Go-бинарников найти место проблематично.
Это делает Venom удобным вариантом для быстрых red-team-кампаний и для ситуаций, когда на целевых хостах доступен только базовый стек Python.
🔗 blog.poxek
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#redteam #Venom #Python #Flask
Проект позиционируется как утилитарный инструмент для постэксплуатации в условиях, где установка пакетов нежелательна: сервер на Flask, операторский GUI на Electron и однобайтовый (single-file) агент на чистом Python, который передаёт AES-зашифрованные JSON-сообщения по HTTP(S).
Ключевая идея — запуск агента на хосте без установки зависимостей. Это упрощает развертывание на экзотических дистрибутивах или минимальных образах, где инструментам вроде Go-бинарников найти место проблематично.
Это делает Venom удобным вариантом для быстрых red-team-кампаний и для ситуаций, когда на целевых хостах доступен только базовый стек Python.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5
Хватит страдать в токсичных отношениях с Burp Suite. Пора быть счастливым с Caido
#caido #burpsuite #portswigger #intruder #repeater
Полезная статья от Слонсера и посвящена прокси Caido. Я сам этот прокси юзал в этом и прошлом году. Если в прошлом году показалось совсем сырым, хоть и перспективным инструментов, то в этом году распробовал кайдо получше. Лично для себя отмечу, что клиент-серверная архитектура ТОП и особенно раскрывается, когда работаешь не один. В своё время не хватало встроенного Collaborator, Слонсер в статье привёл его аналог Omnioast. А вот workflow я не смог раскрыть за несколько проектов, но в статье описаны неплохие примеры его использования
🔗 Статья
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#caido #burpsuite #portswigger #intruder #repeater
Полезная статья от Слонсера и посвящена прокси Caido. Я сам этот прокси юзал в этом и прошлом году. Если в прошлом году показалось совсем сырым, хоть и перспективным инструментов, то в этом году распробовал кайдо получше. Лично для себя отмечу, что клиент-серверная архитектура ТОП и особенно раскрывается, когда работаешь не один. В своё время не хватало встроенного Collaborator, Слонсер в статье привёл его аналог Omnioast. А вот workflow я не смог раскрыть за несколько проектов, но в статье описаны неплохие примеры его использования
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥16🌚9🔥4👍1