Не будьте кефирными грибками, правильная часть пятницы сама себя не начнет 🙂

🔒 DevSecOps, ваш голос важен! Участвуйте в исследовании State of DevOps Russia 2025!

«Экспресс 42» вместе с Positive Technologies и другими лидерами индустрии запустили ежегодный опрос, чтобы изучить тренды DevOps в России.

Мы опросим 4000+ специалистов: DevOps-инженеров, разработчиков, тестировщиков, техлидов, CTO и вас — экспертов DevSecOps. Ваш опыт поможет сформировать будущее индустрии и показать, как ИБ меняет DevOps!

🎁 Пройдите опрос и получите:

⚫Шанс выиграть мерч, подписки на сервисы, промокоды на ИБ- и DevOps-инструменты, билеты на Highload++ и DevOpsConf
⚫Эксклюзивный доступ к первым результатам и полному отчету с аналитикой от экспертов

В 2024 году 44% компаний уже использовали ИИ для разработки, а 33% увеличили ИТ-бюджеты. Узнайте, что ждет индустрию в 2025, и станьте частью исследования!

☕️ Заваривайте чай или кофе и проходите опрос по ссылке 👉 ссылка

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-53305, обнаруженная в Whoogle Search версии 0.9.0, приводит к Deserialization of Untrusted Data. Уязвимость возникала из-за использования небезопасной функции pickle.loads() для десериализации пользовательских данных в компоненте /models/config.py (см. source code), что позволяло злоумышленнику выполнить произвольный код на сервере через специально сформированный поисковый запрос. В исправлении заменили десериализацию входных данных через pickle.loads() на формирование JSON данных c использованием функции json.loads().

🐛 CVE-2025-22872, обнаруженная в пакете net/html языка Golang до версии v0.38.0, приводит к Cross-Site Scripting (XSS). Уязвимость заключалась в том, что токенизатор некорректно интерпретировал HTML-теги с неэкранированными значениями атрибутов, заканчивающимися символом /, как самозакрывающиеся (см. source code). В исправлении были добавлены дополнительные проверки тэга в функции readStartTag().

🐛 CVE-2025-32434, обнаруженная в PyTorch в версиях до 2.6.0, приводит к Deserialization of Untrusted Data. Уязвимость возникала при использовании функции torch.load() с параметром weights_only=True, что приводило к небезопансой десериализацию данных из tar-файлов с использованием функци load() модуля pickle (см. source code). В исправлении была добавлена проверка на использованием модуля pickle при десериализации данных из tar-файлов при установленном флаге weights_only=True.

🐛 CVE-2025-32388, обнаруженная в SvelteKit в версиях с 2.0.0 по 2.20.5, приводит к Reflected Cross-Site Scripting (XSS). Уязвимость возникала при итерации по event.url.searchParams в серверных функциях load(), где имена параметров запроса включались в uses.search_params без экранирования (см. source code), что позволяло злоумышленнику внедрить вредоносный JavaScript-код через специально сформированный URL, который исполнялся в браузере жертвы при загрузке страницы. В исправлении функция stringify_uses() была заменена на serialize_uses(), которая теперь возвращает объект, а не строку, а после была добавлена функция JSON.stringify() для экранирования ключей.

🐛 CVE-2025-32433, обнаруженная в Erlang/OTP SSH в версиях до OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20, приводит к Remote Code Execution (RCE). Уязвимость обусловлена некорректной обработкой SSH-сообщений на этапе до аутентификации: сервер принимал и обрабатывал сообщения, предназначенные для аутентифицированных сессий, что позволяло злоумышленнику выполнить произвольный код без предоставления учетных данных. Подробную информацию можно прочитать в статье

Вот и он — новый долгожданный выпуск Positive Research 📚

В этот раз вас ждет номер-перевертыш 🙃

В нем два блока и, соответственно, две обложки. Основной блок — это статьи наших экспертов. Второй блок посвящен детской кибербезопасности — реальные истории об инцидентах и советы, как противостоять (не)детским киберугрозам.

Нам повезло, можем взять в руки и полистать, ощущая свежий запах типографской краски, а вы увидите его на наших мероприятиях или в PDF-версии. Кроме того, мы уже начали выкладывать новые статьи на сайт.

Что внутри?

🐍 Рассказ Алексея Лукацкого с советами о том, как ИБ-специалистам показать свою ценность для бизнеса в 2025 году. Минутки финансовой грамотности, живые примеры и великолепный стиль автора — в наличии.

🎙 Инструкция, полезная каждому интровертному айтишнику: как подготовиться к публичному выступлению технически и внутренне.

🪄 Магия вне Хогвартса Виталий Самаль, ведущий специалист отдела обнаружения вредоносного ПО PT ESC, рассказывает, как исследовать macOS и находить фантастических тварей вредоносы, где бы они ни обитали (а для любителей мира Гарри Поттера станет приятным сюрпризом дизайн статьи).

🥘 Внутренняя кухня Positive Technologies: интервью с AppSec-специалистами о том, без каких скилов им сегодня не обойтись, почему в нашем случае практики DevSecOps не всегда применимы и как им удается «поженить» задачи ИБ, разработки и интересы бизнеса.

👧👦 Презентация детской рубрики с занимательными ребусами о кибербезопасности (часть из которых уже разгадали в этом канале) и советами о том, как защитить юных пользователей от опасностей, подстерегающих в сети.

И это, конечно, не все! Качайте номер и читайте его целиком.

#PositiveResearch
@Positive_Technologies

А вы знали, что если смотреть по одному мему каждые 54 минуты, то последний ознаменует начало самой чудесной части пятницы? 🧠

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-32027, обнаруженная в Yii Framework в версиях до 1.1.31, приводит к Reflected Cross-Site Scripting (XSS). Уязвимость возникала при использовании fallback-обработчика ошибок, где сообщения об ошибках выводились без должного экранирования (см. source code) Это позволяло злоумышленнику внедрять вредоносный JavaScript-код через специально сформированные параметры запроса. В исправлении были добавлены вызовы htmlEncodeInternal() , который содержит вызов функции htmlspecialchars() для экранирования специальных символов HTML.

🐛 CVE-2025-29189, обнаруженная в Flowise в версиях <= 2.2.3, приводит к SQL Injection. Уязвимость обусловлена тем, что параметр tableName использовался напрямую в формировании SQL-запросов без должной проверки и экранирования , что позволяло злоумышленнику внедрять произвольный SQL-код. В исправлении была реализована строгая валидация и экранирование значения параметра tableName в функции sanitizeTableName().

🐛 CVE-2025-32017, выявленная в Umbraco CMS в версиях 14.0.0–14.3.3 и 15.0.0–15.3.0, приводит к Path Traversal. Уязвимость возникла из-за недостаточной фильтрации имени файла в API загрузки временных файлов (см. source code), что позволяло аутентифицированному пользователю загружать файлы в произвольные директории на сервере. В исправлении были добавлены проверки на допустимость расширений файлов и предотвращение использования относительных путей.

🐛 CVE-2025-32372, обнаруженная в DNN Platform в версиях до 9.13.8, приводит к Server-Side Request Forgery (SSRF). Уязвимость (см. source code) возникла из-за возможности неаутентифицированным злоумышленникам инициировать произвольные http-запросы от имени сервера к внутренним или внешним ресурсам. В исправлении была добавлена строгая проверка URL в компоненте DnnImageHandler с использованием нового класса UriValidator().

🐛 CVE-2025-3248, обнаруженная в Langflow в версиях до 1.3.0, приводит к Remote Code Execution (RCE). Уязвимость заключалась в отсутствии аутентификации при обращении к эндпоинту /api/v1/validate/code (см. source code), что позволяло неаутентифицированному злоумышленнику отправлять специально сформированные HTTP-запросы и выполнять произвольный код на сервере. В исправлении была добавлена проверка текущего пользователя с использованием CurrentActiveUser, что требует аутентификации для доступа к данному эндпоинту. Подробная информация об уязвимости приведена в статье

Пусть наши тела станут машинами, превращающими пятницы в субботы. Всем скорейшего завершения рабочей недели 😊

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-27520, обнаруженная в BentoML в версиях с 1.3.4 по 1.4.3, приводит к Insecure Deserialization. Проблема заключалась в попадании пользовательских данных в опасную функцию pickle.loads() (см. source code), что позволяло добиться произвольного выполнения кода на хосте. В исправлении была добавлена блокировка обработки входящего HTTP-запроса на основе заголовка Content-Type при наличии в нем запрещенного типа application/vnd.bentoml+pickle

🐛 CVE-2025-2945, выявленная в pgAdmin 4 в версиях до 9.2, приводит к Remote Code Execution (RCE). Уязвимость обусловлена недостаточной обработкой пользовательских данных и их попаданием напрямую в функцию eval() (см. source code), что позволяло злоумышленнику выполнить произвольный код. В исправлении функция eval() была заменена на проверку истинности значения args.high_availability с использованием функции isinstance() и оператора in.

🐛 CVE-2025-31131, выявленная в Yeswiki в версиях до 4.5.2, приводит к Path Traversal. Уязвимость обусловлена попаданием пользовательских данных без обработки в пути для подключения шаблонов и стилей (см. source code), что позволяло злоумышленнику читать произвольные файлы на хосте. В исправлении были добавлены валидация пользовательских значений с помощью регулярных выражений и использование функций basename() и realpath() для получения безопасного имени файла.

🐛 CVE-2025-30223, выявленная в Beego в версиях до 2.3.6, приводит к Cross-Site Scripting (XSS). Уязвимость обусловлена отсутствием безопасной обработки пользовательских данных в функции renderFormField(), которая используется для обработки данных перед внедрением в шаблоны (см. source code), что позволяло злоумышленникам внедрять вредоносный код JavaScript. В исправлении была добавлена санитизация пользовательских данных с помощью template.HTMLEscapeString().

🐛 CVE-2025-31161, обнаруженная в CrushFTP в версиях до 10.8.4 приводит к Authentication Bypass. Проблема заключалась в возможности неаутентифицированного злоумышленника с помощью эксплуатации состояния гонки обходить аутентификацию и получать несанкционированный доступ к конфиденциальной информации. Информация об уязвимости и уязвимых версиях находится в Security Advisory. Подробное описание уязвимости можно прочитать в статье.

🛡 Как писать недырявый код: рассказываем об инструментах для безопасной разработки

Сканеров, анализаторов и плагинов, решающих AppSec-проблемы, — сотни, если не тысячи. Евгений Иляхин, архитектор процессов безопасной разработки в Positive Technologies, в статье на Хабре поделился теми, которыми пользуется сам. Рассказал о фишках, особенностях и преимуществах каждого из них.

В его списке оказались:

✳️ SonarLint — бесплатное расширение для IDE, позволяющее фиксить и устранять проблемы в момент написания кода.

✳️ Плагин Semgrep для IDE делает примерно то же самое, плюс помогает соблюдать стандарты кода.

✳️ Еще один плагин для IDE — PT Application Inspector. Благодаря встроенным модулям SCA обнаруживает не только недостатки исходного кода и конфигурационных файлов, но и уязвимые сторонние компоненты и библиотеки.

✳️ Gitleaks и Git-secrets — open-source-инструменты, которые используются для поиска потенциальных секретов в исходном коде и Git-репозиториях.

✳️ Trivy Secret Scanning — часть инструмента Trivy, помогающая обнаруживать токены API, ключи доступа и пароли, утечка которых может представлять угрозу безопасности проекта.

✳️ PT BlackBox Scanner — открытое решение для динамического анализа веб-приложений.

✳️ OWASP ZAP (Zed Attack Proxy) — еще один бесплатный инструмент с открытым исходным кодом для сканирования веб-приложений.

🥹 Читайте, а в комментариях (и к посту, и к статье) делитесь, какими инструментами пользуетесь для создания качественного кода, то есть кода без уязвимостей.

#PositiveЭксперты
@Positive_Technologies

Скоротечной и легкой всем пятницы! 🦄

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-12905, обнаруженная в tar‑fs в версиях до 1.16.4, 2.1.2 и 3.0.8, приводит к Path Traversal. Проблема заключалась в некорректной обработке символических ссылок и относительных путей при распаковке TAR‑архивов (см. source code). Это позволяло злоумышленнику, используя специально сформированный архив, записывать или перезаписывать файлы вне ожидаемого контекста. В исправлении были добавлены проверки корректности символических ссылок и путей: при обнаружении недопустимых значений процесс распаковки прерывается, что предотвращает запись файлов за пределами заданной директории.

🐛 CVE-2025-30212, выявленная в Frappe Framework в версиях до 14.89.0 и 15.51.0, приводит к SQL Injection. Уязвимость обусловлена в недостаточной фильтрации входных данных в механизме пользовательских фильтров, что позволяло злоумышленнику внедрять SQL-код (см. source code). В исправлении в функции build_filter_conditions() добавлена строгая очистка входных параметров перед их использованием в SQL-запросах с использованием функции sanitize_column().

🐛 CVE-2025-29928, обнаруженная в authentik в версиях до 2025.2.3 и 2024.12.4, приводит к Session Fixation. Проблема заключалась в том, что при удалении сессий через API и веб-интерфейс сессии не удалялись из базы данных (см. source code), что позволяло злоумышленнику сохранять доступ даже после деактивации пользователя. В исправлении реализовано корректное удаление сессий из базы данных с помощью SessionStore().delete().

🐛 CVE-2024-58130, выявленная в MISP в версиях до 2.4.193, приводит к уязвимости типа Cross-Site Scripting (XSS). Уязвимость обусловлена в недостаточной фильтрации выходных данных в компоненте RestResponseComponent.php, что позволяло злоумышленнику внедрять произвольный скрипт-код в ответе REST API (см. source code). В исправлении была обновлена функция prepareResponse(), в которой теперь выполняется экранирование специальных символов в ответах, с использованием фильтрующей функции h().

🐛 CVE-2025-1974, обнаруженная в Ingress NGINX Controller для Kubernetes в версиях до 1.11.5 и 1.12.1, приводит к Remote Code Execution (RCE). Проблема заключалась в возможности злоумышленника с доступом к сети Pod выполнить произвольный код в контексте контроллера ingress-nginx. Подробное описание уязвимости можно прочитать в статье.

‼️ВНИМАНИЕ‼️Экстренный выпуск первоапрельских мемов 🤝

Всем чудесных выходных и веселого завершения пятницы 🤗

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-7773, обнаруженная в Ollama в версиях до 0.1.37, приводит к Path Traversal. Проблема заключалась в отсутствии проверки на наличие последовательностей "../" в названиях файлов в zip-архивах (см. source code) , что позволяло злоумышленнику извлекать файлы за пределы ожидаемой директории. В исправлении были добавлены проверки корректности путей при извлечении файлов в функции extractFromZipFile(), что предотвращает возможность записи файлов вне заданной директории.

🐛 CVE-2025-29783, обнаруженная в vLLM в версиях c 0.6.5 до 0.8.0, приводит к Deserialization of Untrusted Data. Проблема заключалась в использовании небезопасного метода десериализации с помощью pickle.loads() в Mooncake-интеграции (см. source code), что позволяло злоумышленнику отправлять вредоносные данные. В исправлении опасный метод pickle.loads() был заменен на безопасный load() из библиотеки safetensors, обеспечивающую безопасную десериализацию входящих данных.

🐛 CVE-2024-11958, обнаруженная в llama_index в версиях до 0.4.0, приводит к SQL Injection. Проблема заключалась в попадании пользовательских данных напрямую в SQL запрос в компоненте duckdb_retriever (см. source code), что позволяло злоумышленнику внедрять произвольный SQL-код. В исправлении были добавлены проверки входных данных и реализовано использование подготовленных выражений для формирования SQL-запросов.

🐛 CVE-2024-10720, обнаруженная в phpIPAM в версиях до 1.7.0, приводит к Cross-Site Scripting (XSS). Проблема заключалась в использовании пользовательских значений без обработки при добавлении нового устройства, что позволяло злоумышленнику внедрять произвольный Javascript код. В исправлении были изменены функции getObjectQuery() и html_escape_strings() путем добавления источника данных для правильной обработки информации.

🐛 CVE-2025-29927, выявленная во фреймворке Next.js c 15.0 по 15.2.3, приводит к Authentication Bypass. Проблема заключалась в том, что при наличии специального заголовка x-middleware-subrequest middleware не выполнялись, что позволяло злоумышленнику обойти аутентификацию и получить доступ к конфиденциальной информации. Подробное описание уязвимости можно прочитать в статье.

Ложные срабатывания — все! Мы выпустили новую версию PT Application Inspector 👁

🔎 Повысили точность результатов сканирования

Объединили технологии анализа сторонних компонентов (SCA) и статического анализа кода приложения (SAST) — в продукте появились возможности анализа достижимости и поиска транзитивных зависимостей.

1️⃣ PT Application Inspector 4.10 учитывает не только информацию об уязвимостях в используемых библиотеках, но и проверяет использование уязвимых функций. В итоге система предупреждает лишь о тех уязвимостях, которые реально могут быть проэксплуатированы злоумышленниками.

2️⃣ Библиотека, которая содержится в коде, может быть связана с другой — уязвимой — через одну или несколько библиотек. Наш продукт отслеживает такие связи и отображает их в виде графа зависимостей, что позволяет четко определить фактическую угрозу.

🤥 Сократили число ложных срабатываний

Результаты тестирования на 193 открытых проектах с GitHub, использующих уязвимые компоненты, впечатляют: количество ложноположительных срабатываний снизилось на 98–100%. Это позволяет сэкономить время на анализе срабатываний и сосредоточиться на исправлении реальных дефектов безопасности.

«PT Application Inspector определяет, действительно ли уязвимый фрагмент кода присутствует в приложении. Так как в большинстве случаев наличие уязвимости в коде не подтверждается, число срабатываний снижается в десятки раз», — прокомментировал Сергей Синяков, руководитель продуктов application security, Positive Technologies.

⬆️⤵️Добавили поддержку тегов для параллельного анализа

Теперь разработчики могут запускать сканирование разных Git-веток одного репозитория одновременно, не опасаясь перезаписи результатов, а статусы уязвимостей, комментарии и исключения автоматически синхронизируются между проектами, связанными тегами репозитория. Эта функция позволяет минимизировать простои, объединять историю изменений уязвимостей из разных веток и гибко настраивать синхронизацию.

👀 Больше подробностей об обновлении — на нашем сайте.

#PTApplicationInspector
@Positive_Technologies

Всем добра и чудесного завершения пятницы 🤗

Статья от коллег из группы разработки средств интеграции – про бесплатные плагины PT AI для IDE. Безболезненно, бесплатно, безопасно.
https://habr.com/ru/companies/pt/articles/892696/

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-27610, выявленная в rack в версиях до 2.2.13, приводит к Path Traversal. Проблема заключалась в использовании пользовательских значений путей к статическим файлам через Rack::Static (см. source code), что позволяло злоумышленнику получить доступ к файлам за пределами указанного статического каталога. В исправлении была добавлена санитизация пользовательских значений с помощью методов clean_path_info() и unescape_path() из Rack::Utils.

🐛 CVE-2024-13919, выявленная в Laravel в версиях с 11.9.0 до 11.35.1, приводит к Cross-Site Scripting (XSS). Проблема заключалась в внедрении пользовательских данных в шаблон при работе приложения в режиме отладки (APP_DEBUG=true) (см. source code), что могло привести к выполнению произвольного JavaScript-кода. В исправлении в шаблонизаторе Blade вывод типа {!! ... !!} был заменен на безопасную версию {{ ... }}, которая автоматически экранирует входные данные.

🐛 CVE-2025-1550, обнаруженная в Keras в версиях до 3.8.0, приводит к Insecure Deserialization. Проблема заключалась в возможности десериализации пользовательского кода в методе deserialize_keras_object() (см. source code), что могло привести к выполнению произвольного кода, через вредоносный архив .keras. В исправлении была добавлена проверка, что объект является экземпляром класса или подкласса типа Operation.

🐛 CVE-2025-25977, обнаруженная в canvg в версиях до 4.0.3, приводит к Prototype Pollution. Проблема заключалась в возможности злоумышленника влиять на вводимые данные в конструкторе StyleElement() (см. source code), что позволяло через изменение свойств в глобальной цепочке прототипов выполнять произвольные команды в контексте приложения. В исправлении заменили объект {} на структуру данных Map.

🐛 CVE-2025-24813, обнаруженная в Apache Tomcat в версиях до 9.0.98, 10.1.34 и 11.0.2 приводит к Remote Code Execution (RCE). Проблема заключалась в возможности злоумышленника загружать сериализованный вредоносный код через PUT-запрос, который при десериализации мог привести к выполнению удаленного кода на сервере и получению полного доступа. Информация об уязвимости и уязвимых версиях находится в Security Advisory.

Всем спокойной пятницы и чудесных выходных 🍻

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-25185, обнаруженная в GPT Academic в версиях до 3.91, приводит к Arbitrary File Reading. Уязвимость обусловлена некорректной обработкой символических ссылок (soft links) при распаковке архивов (см. source code), что позволяло злоумышленнику читать произвольные файлы на хосте. В исправлении была добавлена функция safe_extract_rar(), которая нормализует путь и проверяет, что архив извлекает файлы только в указанную директорию.

🐛 CVE-2025-25362, выявленная в Spacy-LLM в версиях до 0.7.3, приводит к Server-Side Template Injection (SSTI). Уязвимость обусловлена возможностью передачи пользовательских данных в шаблон jinja2.Environment() (см. source code), что позволяло злоумышленникам выполнять произвольный код путем внедрения специально созданной полезной нагрузки в поле шаблона. В исправлении метод Environment() был заменен на SandboxedEnvironment(), который создает ограниченную среду для выполнения шаблонов.

🐛 CVE-2025-25191, выявленная в Group-Office в версиях до 6.8.100, приводит к Cross-Site Scripting (XSS). Уязвимость возникала при сохранении пользовательского ввода из поля Name в HTML (см. source code), что могло привести к выполнению вредоносного JavaScript кода при использовании этого HTML. В исправлении была добавлена санитизация HTML-символов с помощью функции htmlEncode() библиотеки Ext.

🐛 CVE-2025-27597, обнаруженная в Vue I18n в версиях до 11.1.2, приводит к Prototype Pollution. Уязвимость обусловлена отсутствием контроля за свойством __proto__ в функции handleFlatJson() (см. source code), что позволяло злоумышленнику внедрить полезную нагрузку в прототип и при определенных условиях выполнять произвольные команды в контексте приложения. В исправлении была добавлена проверка на наличие свойства __proto__ в переданных элементах.

🐛 CVE-2025-0912, обнаруженная в плагине WordPress Donations Widget в версиях до 3.19.4 включительно, приводит к Deserialization of Untrusted Data. Уязвимость позволяла неаутентифицированным злоумышленникам внедрять PHP-объекты через параметр card_address, что позволяло выполнять удаленный код. Информация об уязвимости, рекомендациях по обновлению и уязвимых версиях находится в Security Advisory.

Всем //TODO: fix later для скорейшего завершения рабочей недели 🤗