Positive Development Community
Positive Development Community (English)
Are you looking for a supportive and uplifting community to help you on your personal development journey? Look no further than the Positive Development Community on Telegram, with the username @posidev. This channel is a place where like-minded individuals come together to share their experiences, insights, and tips for personal growth and self-improvement. Whether you are looking to boost your confidence, increase your productivity, or simply connect with others who are on a similar path, this community is here to support you every step of the way. The Positive Development Community offers a variety of resources to help you on your journey, including daily motivational quotes, guided meditation sessions, book recommendations, and goal-setting challenges. The supportive and non-judgmental atmosphere of the community makes it the perfect place to share your goals, struggles, and successes with others who truly understand and want to see you thrive. Who is it for? The Positive Development Community is for anyone who is committed to personal growth and is looking for a positive and encouraging space to connect with others who share their goals. Whether you are just starting out on your personal development journey or have been on the path for years, you will find a welcoming community of like-minded individuals who are ready to support you. What is it? The Positive Development Community is a Telegram channel dedicated to fostering a positive and uplifting environment for individuals who are passionate about personal development. Through a combination of resources, discussions, and shared experiences, members of the community can connect with each other, learn from one another, and grow together on their journey towards self-improvement. Join the Positive Development Community today and discover a place where you can find inspiration, motivation, and support as you work towards becoming the best version of yourself. Together, we can create a community of positivity and growth that empowers each and every member to reach their full potential. Come join us on Telegram @posidev and start your journey towards a more positive and fulfilling life!
Positive Development Community
20 Nov, 06:38
🐛 CVE-2024-52293, обнаруженная в CraftCMS в версиях с 4.0.0-RC1 до 4.12.1, приводит к Path Traversal. Проблема заключалась в возможности формирования пути к файлу на основе пользовательских данных без их фильтрации (см. source code), что позволяло злоумышленнику разместить шаблон в системной директории. В исправлении результирующее значении пути, возвращаемое функцией
absolutePath() , пропускается через фильтрующий метод static::normalizePath(). 🐛 CVE-2024-5125, выявленная в lollms-webui в версиях до 9.8, приводит к Cross-Site Scripting (XSS). Уязвимость обусловлена попаданием пользовательских файлов SVG в функцию
execute_svg() (см. source code), что позволяло злоумышленнику внедрить в такие файлы произвольный JavaScript код, который в последующем выполнится. В исправлении была добавлена функция sanitize_svg(), которая удаляет элементы script и элементы с атрибутами, начинающимися с on, в загружаемых SVG файлах.🐛 CVE-2024-51747, обнаруженная в kanboard в версиях до 1.2.41, приводит к Path Traversal. Проблема заключалась в попадании пользовательских данных без обработки в функции взаимодействия с файлами класса
FileStorage (см. source code), что позволяло злоумышленнику читать и удалять произвольные файлы в файловой системе. В исправлении в конструкторе добавили проверки для инициализации базового каталога $baseDir, а также был добавлен метод getRealFilePath() для контроля пути к файлу. 🐛 CVE-2024-52010, выявленная в zoraxy в версиях с 2.6.1 по 3.1.2, приводит к OS Command Injection. Уязвимость обусловлена использованием значений из параметра
username в функции exec.Command() (см. source code), что позволяло злоумышленнику при конфигурации подключения через веб-интерфейс внедрить произвольные команды ОС и выполнить их. В исправлении был добавлен метод ValidateUsernameAndRemoteAddr() для контроля значений username и remoteIpAddr с помощью набора регулярных выражений. 🐛 CVE-2024-10979, обнаруженная в PostgreSQL PL/Perl в версиях до 17.1 приводит к Broken Access Control. Проблема заключалась в возможности непривилегированного пользователя СУБД изменять значения переменных среды процесса, что в дальнейшем позволяло ему выполнить произвольный код. Информация об уязвимости и уязвимых версиях находится в Security Advisory. Информация об эксплуатации данной уязвимости есть в статье от RedRays
Positive Development Community
19 Nov, 19:47
Опубликован Национальный стандарт ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
Указанный стандарт вводится в действие 20.12.2024.
