Positive Development Community @posidev Channel on Telegram

Positive Development Community

@posidev

Positive Development Community (English)

Are you looking for a supportive and uplifting community to help you on your personal development journey? Look no further than the Positive Development Community on Telegram, with the username @posidev. This channel is a place where like-minded individuals come together to share their experiences, insights, and tips for personal growth and self-improvement. Whether you are looking to boost your confidence, increase your productivity, or simply connect with others who are on a similar path, this community is here to support you every step of the way. The Positive Development Community offers a variety of resources to help you on your journey, including daily motivational quotes, guided meditation sessions, book recommendations, and goal-setting challenges. The supportive and non-judgmental atmosphere of the community makes it the perfect place to share your goals, struggles, and successes with others who truly understand and want to see you thrive. Who is it for? The Positive Development Community is for anyone who is committed to personal growth and is looking for a positive and encouraging space to connect with others who share their goals. Whether you are just starting out on your personal development journey or have been on the path for years, you will find a welcoming community of like-minded individuals who are ready to support you. What is it? The Positive Development Community is a Telegram channel dedicated to fostering a positive and uplifting environment for individuals who are passionate about personal development. Through a combination of resources, discussions, and shared experiences, members of the community can connect with each other, learn from one another, and grow together on their journey towards self-improvement. Join the Positive Development Community today and discover a place where you can find inspiration, motivation, and support as you work towards becoming the best version of yourself. Together, we can create a community of positivity and growth that empowers each and every member to reach their full potential. Come join us on Telegram @posidev and start your journey towards a more positive and fulfilling life!

Positive Development Community

12 Feb, 08:13

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-24366, обнаруженная в SFTPGo в версиях до v2.6.5, приводит к OS Command Injection. Уязвимость обусловлена передачей уязвимых параметров в команду rsync (см. source code), что давало удаленному пользователю возможность чтения и записи файлов с разрешениями серверного процесса SFTPGo. В исправлении была добавлена функция canAcceptRsyncArgs(), которая проверяет соответствие переданных аргументов заранее заданному формату для команды rsync.

🐛 CVE-2025-0825, выявленная в cpp-httplib в версиях c v0.17.3 до v0.18.3, приводит к HTTP Request/Response Splitting. Уязвимость обусловлена возможностью обхода проверки функции has_crlf() , которая проверяла только наличие символов \r и \n, но не учитывала кодировки и нулевые баты (см. source code), что позволяло злоумышленнику получить доступ к конфиденциальной информации. В исправлении была добавлена проверка символов по "белому" списку.

🐛 CVE-2025-24961, обнаруженная в S3Proxy в версиях до 2.6.0, приводит к Path Traversal. Уязвимость обусловлена добавлением пользовательского данных в путь до файла без предварительной проверки (см. source code), что приводило к возможности раскрытия списка локальных файлов пользователей. В исправлении была добавлена функция checkValidPath(), которая нормализует путь и проверяет, что путь начинается с разрешенной папки.

🐛 CVE-2025-24981, обнаруженная в MDC в версиях до 0.13.3, приводит к Cross-site Scripting (XSS). Проблема заключалась в возможности обхода фильтрующей проверки, используя кодировку символов (см. source code), что позволяло злоумышленнику внедрить вредоносный JavaScript код. В исправлении была добавлена функция isAnchorLinkAllowed(), которая декодирует переданное значение и санитизирует его от запрещенных комбинаций.

🐛 CVE-2025-0994, обнаруженная в Trimble Cityworks в версиях до 15.8.9 и в Cityworks в версиях до 23.10, приводит к Deserialization of Untrusted Data. Уязвимость позволяла аутентифицированному пользователю выполнить удаленное выполнение кода на веб-сервере Microsoft Internet Information Services (IIS). Информация об уязвимости, рекомендациях по обновлению и уязвимых версиях находится в Security Advisory.
698
Positive Development Community

07 Feb, 14:57

«Чем тяжелее пятница, тем легче с ней расставаться» (мудрость, хоть и не народная, но очевидная) 👋 Всем чудесных выходных)

P.S: 
printf("%c\n", 97 + boolean);
1,363
Positive Development Community

05 Feb, 06:26

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-23211, выявленная в Tandoor Recipes в версиях до 1.5.24, приводит к Server-Side Template Injection (SSTI). Уязвимость обусловлена возможностью попадания пользовательского ввода в шаблон jinja2.Template() (см. source code), что может привести к выполнению произвольного кода на сервере. В исправлении использование Template() было заменено на безопасную версию SandboxedEnvironment(), который создает ограниченную среду для выполнения шаблонов.

🐛 CVE-2025-22604, выявленная в Cacti в версиях до 1.2.29, приводит к OS Command Injection. Уязвимость обусловлена попаданием пользовательских данных в функцию shell_exec(), которая используется добавления данных в файл (см. source code). В исправлении опасная функция была заменена на file_put_contents(), которая записывает пользовательские данные напрямую в файл.

🐛 CVE-2025-24370, обнаруженная в Django-Unicorn в версиях до 0.62.0, приводит к Improperly Controlled Modification of Dynamically-Determined Object Attributes. Уязвимость обусловлена возможностью внедрения магических методов Python в функцию set_property_value() (см. source code), что могло привести к произвольным изменениям состояния среды выполнения. В исправлении была добавлена проверка, что передаваемые параметры не начинаются и не заканчиваются нижними подчеркиваниями.

🐛 CVE-2025-24793, обнаруженная в Snowflake в версиях с 2.2.5 до 3.13.1, приводит к SQL Injection. Проблема заключалась в возможности использования пользовательских данных в SQL запросе (см. source code), что позволяло злоумышленнику внедрить произвольный SQL код. В исправлении формирование SQL запроса стало выполняться с помощью параметризации и было ведено ограничение, что в одном вызове cursor.execute() должен быть выполнен только один SQL-запрос.

🐛 CVE-2025-21298, обнаруженная в Windows OLE, приводит к Remote Code Execution (RCE). Уязвимость находилась в функции UtOlePresStmToContentsStm() в ole32.dll, которая обрабатывает Object Linking and Embedding (OLE), встроенные в электронные письма/файлы в Microsoft Word и Outlook, что позволяло злоумышленнику встроить полезную нагрузку с вредоносным кодом в документы, который запускался при открытии или предварительном просмотре вредоносного документа. Информация об уязвимости и уязвимых версиях находится в Security Advisory.
1,162
Positive Development Community

31 Jan, 17:33

Завершаем пятницу правильно 🥂 Всем чудесных выходных)
2,286
Positive Development Community

30 Jan, 11:54

Недавно мы выпустили релиз 2.4.0 наших IDE плагинов:

🔹 IntelliJ IDEA: JetBrains marketplace или Github
🔹 VSCode: Microsoft marketplace или Github

На вебинаре «Интеграция IDE-плагинов и PT Application Inspector: новый уровень командной работы при поиске уязвимостей» 6 февраля в 14:00 спикеры напомнят о том, что собой представляют плагины PT AI для IDE, а также почему Вам необходимо начать использовать их в цикле безопасной разработки. Вы узнаете про:

▪️ Отправку локальных результатов сканирования на сервер PT AI;
▪️ Получение результатов анализа с сервера прямо в IDE;
▪️ Автоматическую синхронизацияю результатов сканирования;
▪️ Запуск сканирования из IDE на сервере;
▪️ Возможность обновления исходного кода проекта из плагинов на сервере.
1,130
Positive Development Community

29 Jan, 05:40

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-24019, обнаруженная в YesWiki в версиях до 4.4.5 включительно, приводит к Path Traversal. Проблема заключалась в использовании параметров из запроса для формирования пути к файлу в методе fmErase() (см. source code), что позволяло злоумышленнику получить доступ к произвольным файлам на хосте. В исправлении добавлена проверка формата имени файла и конструкция basename(realpath()), которая преобразует переданные данные в нормализованный абсолютный путь и извлекает только имя файла из пути, отбрасывая любые попытки указать директорию.

🐛 CVE-2025-24530, обнаруженная в phpMyAdmin в версиях до 5.2.2, приводит к Cross-Site Scripting (XSS). Проблема заключалась в попадании пользовательских данных из имени таблицы в переменную $indexesProblems в функции getIndexesProblems() без обработки (см. source code), что могло привести к генерации недопустимого HTML и выполнению произвольного JavaScript-кода. В исправлении была добавлена санитизация специальных символов с помощью функции htmlspecialchars().

🐛 CVE-2025-23047, найденная в Cilium в версиях до 1.14.18, 1.15.12 и 1.16.5, приводит к Information Disclosure. Уязвимость возникала из-за некорректной настройки политики CORS (см. source code), что позволило злоумышленнику получить сведения о конфигурации кластера Kubernetes. В исправлении была отключена поддержка CORS и кросс-доменных запросов.

🐛 CVE-2025-24359, обнаруженная в ASTEVAL в версиях до 1.0.6, приводит к Remote Code Execution (RCE). Уязвимость обусловлена использованием в функции on_formattedvalue() пользовательских данных в str.format() без предварительной проверки (см. source code), что позволяет злоумышленнику манипулировать значением строки, используемой в опасном вызове fmt.format(__fstring__=val). В исправлении добавлены функции getattr() и safe_format(), которые предотвращает доступ к небезопасным атрибутам объектов и убирают возможность выполнения небезопасного кода через подстановки.

🐛 CVE-2025-0411, обнаруженная в 7-Zip в версиях до 24.09, приводит к Remote Code Execution (RCE). Уязвимость обусловлена некорректной обработкой архивов, на которые 7-Zip не распространяет маркировку безопасности Mark of the Web при извлечении файлов, что позволяло злоумышленникам выполнять произвольный код в контексте пользователя. Информация об уязвимости и уязвимых версиях находится в Security Advisory.
1,109
Positive Development Community

24 Jan, 15:09

Всем хорошенько отдохнуть на выходных! 🛏 И, конечно же, замечательного пятничного вечера 🤗
1,476
Positive Development Community

23 Jan, 13:40

Открыт прием заявок на Positive Hack Days

Киберфестиваль PHDays Fest пройдет 22–24 мая в «Лужниках». В рамках профессиональной программы трека Development при поддержке сообщества POSIdev мы собираем доклады для ценителей кода, хай-тека, безопасной разработки и защиты приложений.

Написание безопасного кода, защита контейнеров и артефактов, system design, базы данных и архитектура высоконагруженных приложений, внутренние платформы и обработка данных, управление большой инфраструктурой, open source — смотрите полный список тем этого года.

Стать спикером и собрать «Лужники»

Заявки принимаются до 28 февраля.
782
Positive Development Community

22 Jan, 07:02

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-0474, обнаруженная в Invoice Ninja в версиях с 5.8.56 по 5.11.23, приводит к Server-Side Request Forgery (SSRF). Уязвимость обусловлена попаданием пользовательских значений в атрибуты при формировании HTML (см. source code), что приводило к возможности пользователю читать произвольные файлы и отправлять сетевые запросы. В исправлении добавлена функция cleanHtml(), которая проверяет содержимое атрибутов, удаляет атрибуты содержащие URL.

🐛 CVE-2025-23209, обнаруженная в CMS Craft в версиях до 5.5.8 и 4.13.8, приводит к Remote Code Execution (RCE). Уязвимость обусловлена попаданием пользовательских значений путей к файлу для восстановления базы данных из резервной копии в метод actionRestoreDb() (см. source code), что приводило к попаданию произвольного кода в функцию _executeDatabaseShellCommand() и его выполнению. В исправлении появилась валидация пути к резервной копии БД с помощью FileHelper, направленная на проверку существования файла и его нахождения в разрешенной директории.

🐛 CVE-2024-53263, выявленная в Git LFS в версиях до 3.6.1, приводит к CRLF Injection. Уязвимость обусловлена отсутствием проверки пользовательского ввода на содержание в нем символов CRLF в функции buffer() для команды git-credential (см. source code), что позволяло злоумышленнику получить доступ к учетным данным других пользователей. В исправлении добавлена проверка на наличие переносов строки (\n) в передаваемых данных и если такой символ найден, возвращается ошибка.

🐛 CVE-2025-23207, выявленная в KaTeX в версиях до 0.16.21, приводит к Cross-Site Scripting (XSS). Проблема заключалась в попадании пользовательских данных без ограничений в состав команды \htmlData, которая используется для добавления атрибутов данных data-* к HTML-элементу (см. source code) , что могло привести к выполнению произвольного JavaScript-кода или генерации недопустимого HTML. В исправлении была добавлена проверка на наличие недопустимых символов в атрибуте.

🐛 CVE-2024-12365, обнаруженная в плагине W3 Total Cache для WordPress в версиях до 2.8.1 включительно, приводит к Server-Side Request Forgery (SSRF). Проблема заключалась в отсутствии проверки авторизации в функции is_w3tc_admin_page(), что позволяло аутентифицированным пользователям получить доступ к конфиденциальным данным и выполнять несанкционированные действия, внутри системы. Информация об уязвимости и уязвимых версиях находится в Security Advisory.
798
Positive Development Community

17 Jan, 17:21

Всем веселого завершения пятницы и чудесных выходных 🪑
1,347
Positive Development Community

15 Jan, 06:07

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-21628, обнаруженная в Chatwoot в версиях до 3.16.0, приводит к SQL Injection. Уязвимость заключалась в попадании пользовательских конструкции SQL в query_operator из состава condition в методе perform() (см. source code), что давало возможность внедрения произвольного SQL кода любому аутентифицированному пользователю. В исправлении добавлена функция valid_query_operator(), которая проверяет, что query_operator может принимать только значения AND или OR.

🐛 CVE-2025-21609, выявленная в SiYuan в версиях до 3.1.19, приводит к Arbitrary File Deletion. Уязвимость обусловлена попаданием пользовательских путей к файлам в функцию
ParseJSONWithoutFix() через эндпоинт /api/history/getDocHistoryContent , в случае ошибки которой файл удаляется (см. source code), что давало возможность удаления произвольных файлов на хосте. В исправлении была добавлена проверка, что переданный путь находится в пределах рабочей области приложения, также была убрана функциональная возможность удаления файлов с помощью os.RemoveAll().

🐛 CVE-2024-56800, обнаруженная в Firecrawl в версиях до 1.1.1, приводит к Server-Side Request Forgery (SSRF).
Уязвимость возникала из-за обработки получаемых значений IP-адресов в функции scrapeURLWithFetch() без ограничений (см. source code), что приводило к возможности получить доступ к адресам из локальной сети.
В исправлении была добавлена функция makeSecureDispatcher(), которая содержит проверки получаемых значений к локальным или зарезервированным адресам.

🐛 CVE-2024-56734, обнаруженная в Better Auth в версиях до v1.1.6, приводит к Open Redirect. Уязвимость обусловлена возможностью внедрения значений URL-адресов в функцию createAuthMiddleware() через параметр callbackURL
эндпойнта /auth/verify-email для http-запросов кроме POST (см. source code). В исправлении была скорректирована функция originCheckMiddleware() путем расширения набора методов http-запроса, что позволило обрабатывать значения параметра callbackURL для всех входящих http-запросов.

🐛 CVE-2024-50603, обнаруженная в Aviatrix Controller в версиях до 7.1.4191 и 7.2.4996, приводит к OS Command Injection.
Проблема заключалась в неправильной фильтрации спецсимволов в параметрах cloud_type и src_cloud_type при совершении действий list_flightpath_destination_instances и flightpath_connection_test, что позволяло неаутентифицированным пользователям удаленно выполнять произвольный код. Информация об уязвимости и уязвимых версиях находится в Security Advisory.
1,144
Positive Development Community

13 Jan, 13:37

Как безопасность стала ключевым критерием качества приложений 👌

Сегодня красивый интерфейс, удачно расположенные кнопки, полезные функции и быстрая работа еще не означают, что приложение — качественное. По данным нашего исследования, каждая пятая утечка на рынке связана с уязвимостями приложений, а взломанное ПО вместе с деньгами и репутацией быстро теряет клиентов.

Поэтому для заказчиков, разработчиков и пользователей на фоне роста кибератак стало очевидно, что если приложение не киберустойчивое, то оно не может быть качественным. Об этом в интервью изданию PRODELO рассказала Светлана Газизова, руководитель направления построения процессов безопасной разработки в Positive Technologies.

🧐 Чтобы избежать критических последствий, сегодня о защите приложения нужно задумываться задолго до его запуска.

А для этого важно:

1️⃣ Внедрять инструменты, которые проверяют код на уязвимости и слабые места на стадии разработки. Без них сейчас едва ли можно создать безопасное приложение.

2️⃣ Когда инструменты указывают на недостатки, их нужно оперативно устранять — от самых критичных до менее важных. Для этого важно, чтобы разработчики и специалисты по кибербезопасности знали, как работать с этими инструментами.

3️⃣ Быть готовым проверить безопасность приложения с помощью багбаунти.

📲 Подробнее о том, как подготовить приложение к неизбежным кибератакам, читайте в интервью Светланы на сайте PRODELO.

#PositiveЭксперты
@Positive_Technologies
845
Positive Development Community

10 Jan, 13:25

Всех с наступившим новым годом! 🎄 И долгожданным завершением этой изнурительной рабочей недели 🤗

P.S: полная версия песенки про «Hello World» тут: https://youtu.be/yup8gIXxWDU
1,382
Positive Development Community

27 Dec, 16:16

Пятница, хоть и не у всех настоящая, но всё же последняя в этом году. Всем спокойного и скорейшего завершения рабочей суеты, закрытия всех дедлайнов, и плавного погружения в чудесный мир салатиков, мандаринок, подарков и зимних выходных.

Всех с наступающим! 🎄

P.S: Канал тоже немного отдохнёт. Увидимся 10 января, в новом году 😍
1,429
Positive Development Community

25 Dec, 12:08

🚀 Релиз 2.4.0 плагинов PT Application Inspector для IntelliJ IDEA и VSCode!

Мы добавили новые возможности интеграции с PT AI Enterprise Edition 4.9.1. Теперь ваш процесс анализа кода стал ещё удобнее и гибче:

▪️ Push локальных результатов сканирования на сервер PT AI.
▪️ Pull результатов анализа с сервера прямо в IDE.
▪️ Автоматическая синхронизация результатов сканирования.
▪️ Запуск удаленного сканирования на сервере как с сохранением, так и без сохранения результатов на сервере.
▪️ Возможность обновления исходного кода из плагинов на сервере.

🔥 Ссылки на плагины:
🔹 IntelliJ IDEA: JetBrains marketplace или Github
🔹 VSCode: Microsoft marketplace или Github

Попробуйте новый релиз и держите безопасность на высоте! ⚡️
868
Positive Development Community

25 Dec, 06:23

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-56331, обнаруженная в Uptime Kuma в версиях до 1.23.16, приводит к Local File Inclusion (LFI). Уязвимость заключается в возможности доступа к файлам, используя протокол file:/// , в функции check() класса RealBrowserMonitorType (см. source code), что позволяло злоумышленнику получить доступ к конфиденциальным локальным файлам на сервере. В исправлении была добавлена проверка в составе URL разрешенных протоколов (только http и https) .

🐛 CVE-2024-55953, обнаруженная в DataEase в версиях до 1.18.27, приводит к SQL Injection. Уязвимость обусловлена попаданием пользовательских данных в функцию getJdbc() без фильтрации (см. source code), что позволяло аутентифицированным пользователям читать и десериализовать произвольные файлы через соединение JDBC. В исправлении проверка параметров была заменена на проверку всей итоговой строки, которая используется для подключения.

🐛 CVE-2024-56145, обнаруженная в CMS Craft в версиях до 3.9.14, 4.13.2 или 5.5.2, приводит к Remote Code Execution (RCE). Проблема заключалась управлении источниками конфигурационных параметров (см. source code), что давало возможность осуществлять удаленное выполнение кода, эксплуатируя параметр конфигурации PHP register_argc_argv (включен по умолчанию). В исправлении, в функции findConfig() была изменена логика получения конфигурационных данных - в консольных приложениях теперь данные берутся из командной строки, а в других случаях из переменной окружения.

🐛 CVE-2024-38819, обнаруженная в Spring-framework в версиях с 6.1.0 до 6.1.13, приводят к Path Traversal. Проблема заключалась в возможности выхода за пределы каталога через закодированные символы ../ в URL (см. source code), что позволяло злоумышленнику получить доступ к произвольным данным на хосте. В исправлении была скорректирована функция normalizePath(), которая перед проверкой наличия символов ../ дважды декодирует URL при наличии спецсимволов '%' с помощью функции decode().

🐛 CVE-2024-49194, обнаруженная в Databricks JDBC Driver в версиях до 2.6.40, приводит к Remote Code Execution (RCE). Уязвимость возникает из-за неправильной обработки параметра krbJAASFile в драйвере, что позволяет злоумышленнику использовать этот параметр в URL для эксплуатации инъекции JNDI. Информация об уязвимости и уязвимых версиях находится в Security Advisory.
808
Positive Development Community

20 Dec, 12:15

Всем спокойного и веселого завершения рабочей недели! ☕️
1,351
Positive Development Community

18 Dec, 06:19

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-21544, обнаруженная в Browsershot в версиях до 5.0.1, приводит к Local File Inclusion. Проблема заключалась в обработке пользовательских данных в функции setUrl() без учета наличия специальных символов (см. source code), что позволяло обойти механизм безопасности и получить доступ к произвольным файлам на хосте. В исправлении перед проверкой была добавлена обработка пользовательского значения с помощью функции trim(), которая позволяет убрать специальные символы.

🐛 CVE-2024-55875, выявленная в http4k в версиях до 5.40.0.0, приводит к XML External Entity (XXE). Уязвимость обусловлена небезопасной конфигурацией обработчика XML (см. source code), что позволяло злоумышленнику внедрить произвольные сущности в обрабатываемый документ. В исправлении была добавлена конфигурация XML обработчика, в частности XMLConstants.ACCESS_EXTERNAL_DTD и XMLConstants.ACCESS_EXTERNAL_SCHEMA с значением False.

🐛 CVE-2024-11205, выявленная в плагине WPForms для WordPress с версии 1.8.4 по 1.9.2.1 включительно, приводит к Missing Authorization. Уязвимость заключается в отсутствии контроля прав пользователей в функциях ajax_single_payment_refund() и ajax_single_payment_cancel() (см. source code ), что позволяло злоумышленнику выполнять привилегированные действия с платежами. В исправлении добавлены проверки прав доступа для текущего пользователя c помощью функции wpforms_current_user_can().

🐛 CVE-2024-21542, обнаруженная в luigi в версиях до 3.6.0, приводит к Path Traversal. Проблема заключалась в небезопасной обработке содержимого пользовательских архивов во время распаковки в функции _extract_packages_archive() (см. source code), что позволяло злоумышленнику, например, перезаписать произвольные файлы на хосте и добиться удаленного выполнения кода. В исправлении метод распаковки архивов был заменен на использование класса SafeExtractor, который содержит методы для безопасной обработки содержимого.

🐛 CVE-2024-53677, обнаруженная в Apache Struts в версиях с 2.0.0 до 6.4.0 приводит к Unrestricted Upload of File with Dangerous Type. Проблема заключалась в возможности злоумышленника манипулировать параметрами при загрузке файлов, чтобы включить обход директорий и добиться, например, перезаписи произвольных файлов или удаленного выполнения кода. Информация об уязвимости и уязвимых версиях находится в Security Advisory.
1,138
Positive Development Community

27 Nov, 07:51

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-52803, обнаруженная в llamafactory в версиях до 0.9.1, приводит к OS Command Injection. Проблема заключалась в попадании пользовательских данных в функцию Popen() с флагом shell=True (см. source code), что позволяло внедрить произвольные команды ОС и выполнить их. В исправлении флаг shell=True в функции Popen() был удален, также метод формирования аргумента процесса был заменен на использование листа, а не форматированной строки.

🐛 CVE-2024-52304, выявленная в aiohttp в версиях до 3.10.11, приводит к HTTP Request Smuggling. Уязвимость обусловлена отсутствием обработки символа перевода строки "\n" при парсинге http-запросов (см. source code), что позволяло злоумышленнику, например, получить доступ к конфиденциальной информации. В исправлении было добавлено условие для проверки наличия символов "\n".

🐛 CVE-2024-52597, обнаруженная в 2FAuth в версиях до 5.4.1, приводит к Cross-Site Scripting (XSS). Проблема заключалась в отсутствии безопасной обработки загружаемых файлов типа SVG (см. source code), что позволяло внедрять произвольный JavaScript код внутрь файла, который будет выполнен при обращении к нему. В исправлении была добавлена библиотека enshrined\svgSanitize для санитизации загружаемых svg файлов.

🐛 CVE-2024-48917, выявленная в phpspreadsheet в версиях до 1.29.4, приводит к XML External Entity (XXE). Уязвимость обусловлена небезопасным использованием регулярных выражений в методе findCharSet() для определения значения поля encoding (см. source code), что позволяло злоумышленнику обойти механизмы валидации и, например, внедрять произвольные сущности в передаваемом XML. В исправлении разработчики отказались от использования регулярных выражений и стали вызывать метод guessEncodingBom() для определения значения поля encoding, также была добавлена санитизация значений \0 с помощью str_replace().

🐛 CVE-2024-10924, обнаруженная в плагине Really Simple Security для Word Press в версиях с 9.0.0 до 9.1.1, что приводит к Authentication Bypass. Проблема заключалась в возможности неаутентифицированного злоумышленника войти под учетной записью любого пользователя, включая администратора, из-за неправильной обработки ошибок проверки пользователя при взаимодействии REST API с функцией check_login_and_get_user(). Информация об уязвимости и уязвимых версиях находится в Security Advisory.
517
Positive Development Community

22 Nov, 16:39

Почему задержались мемы? Ответ есть на одном из них 😍 Всем отдыхательного пятничного вечера и никаких созвонов прекрасных выходных 🛏
1,116
Positive Development Community

20 Nov, 06:38

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-52293, обнаруженная в CraftCMS в версиях с 4.0.0-RC1 до 4.12.1, приводит к Path Traversal. Проблема заключалась в возможности формирования пути к файлу на основе пользовательских данных без их фильтрации (см. source code), что позволяло злоумышленнику разместить шаблон в системной директории. В исправлении результирующее значении пути, возвращаемое функцией absolutePath() , пропускается через фильтрующий метод static::normalizePath().

🐛 CVE-2024-5125, выявленная в lollms-webui в версиях до 9.8, приводит к Cross-Site Scripting (XSS). Уязвимость обусловлена попаданием пользовательских файлов SVG в функцию execute_svg() (см. source code), что позволяло злоумышленнику внедрить в такие файлы произвольный JavaScript код, который в последующем выполнится. В исправлении была добавлена функция sanitize_svg(), которая удаляет элементы script и элементы с атрибутами, начинающимися с on, в загружаемых SVG файлах.

🐛 CVE-2024-51747, обнаруженная в kanboard в версиях до 1.2.41, приводит к Path Traversal. Проблема заключалась в попадании пользовательских данных без обработки в функции взаимодействия с файлами класса FileStorage (см. source code), что позволяло злоумышленнику читать и удалять произвольные файлы в файловой системе. В исправлении в конструкторе добавили проверки для инициализации базового каталога $baseDir, а также был добавлен метод getRealFilePath() для контроля пути к файлу.

🐛 CVE-2024-52010, выявленная в zoraxy в версиях с 2.6.1 по 3.1.2, приводит к OS Command Injection. Уязвимость обусловлена использованием значений из параметра username в функции exec.Command() (см. source code), что позволяло злоумышленнику при конфигурации подключения через веб-интерфейс внедрить произвольные команды ОС и выполнить их. В исправлении был добавлен метод ValidateUsernameAndRemoteAddr() для контроля значений username и remoteIpAddr с помощью набора регулярных выражений.

🐛 CVE-2024-10979, обнаруженная в PostgreSQL PL/Perl в версиях до 17.1 приводит к Broken Access Control. Проблема заключалась в возможности непривилегированного пользователя СУБД изменять значения переменных среды процесса, что в дальнейшем позволяло ему выполнить произвольный код. Информация об уязвимости и уязвимых версиях находится в Security Advisory. Информация об эксплуатации данной уязвимости есть в статье от RedRays
1,160
Positive Development Community

19 Nov, 19:47

​​ ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»

Опубликован Национальный стандарт ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

Указанный стандарт вводится в действие 20.12.2024.
864
Positive Development Community

15 Nov, 06:05

Чудесной всем пятницы 🤗
1,621
Positive Development Community

13 Nov, 07:22

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-45794, выявленная в devtron в версиях до 0.7.1, приводит к SQL Injection. Уязвимость обусловлена попаданием пользовательских данных через параметр accessType напрямую в SQL запрос при обращении к CreateUser API /orchestrator/user (см. source code). В исправлении формирование SQL запроса стало выполняться с помощью параметризации.

🐛 CVE-2024-51501, обнаруженная в Refit в версиях до 8.0.0, приводит к CRLF Injection. Проблема заключалась в применении функции TryAddWithoutValidation(), которая не исключает символы CRLF при добавлении новых заголовков в HTTP запросы (см. source code). В исправлении перед добавлением заголовка, его значения стали пропускаться через метод EnsureSafe(), который используется для очистки передаваемых значений от символов CRLF.

🐛 CVE-2024-49770, выявленная в oak в версиях до 17.1.2, приводит к Path Traversal. Уязвимость обусловлена использованием decodeComponent() для обработки путей (см. source code), что позволяло злоумышленнику обойти проверку и получить доступ к произвольным файлам на хосте. В исправлении функция была заменена на встроенную функцию decode() для декодирования путей к файлам.

🐛 CVE-2024-51989, обнаруженная в Password Pusher Application в версиях с 1.41.1 до 1.48.0, приводит к Cross-Site Scripting (XSS). Проблема заключалась в попадании внешних данных через параметр confirmation_token в состав html-кода (см. source code), что позволяет злоумышленнику внедрить вредоносный JavaScript код. В исправлении была добавлена функция экранирования h() параметра confirmation_token при его добавлении в html-код.

🐛 CVE-2024-10470, обнаруженная в Learning Management System for WordPress в версиях до 4.963, приводит к Path Traversal. Проблема заключалась в возможности злоумышленника читать и удалять произвольные файлы, используя недостатки в проверках путей к файлу и разрешений в функциях readfile() и unlink(). Информация об уязвимости и уязвимых версиях находится в Security Advisory.
1,210
Positive Development Community

08 Nov, 16:59

То неловкое чувство, когда до самого вечера пятницы был уверен в том, что сегодня четверг 😍
1,552
Positive Development Community

06 Nov, 07:44

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-51483, выявленная в changedetection.io в версиях до 0.47.05, приводит к Path Traversal. Причиной уязвимости является обход контроля использования схемы file:// при доступе к файлам, с помощью добавления source: к полезной нагрузке. В исправлении были добавлены дополнительные проверки сочетаний source: и file:// с использованием функций is_safe_url() и re.search().

🐛 CVE-2024-51482, обнаруженная в zoneminder в версиях с 1.37 по 1.37.64, приводит к SQL-Injection. Проблема заключалась в попадании пользовательских данных через параметр tid напрямую в SQL запрос (см. source code). В исправлении была добавлена обработка параметра tid с помощью метода validCardinal(), который проверяет на целочисленные значения, и формирование SQL запроса стало выполняться с помощью параметризации.

🐛 CVE-2024-49380, выявленная в Plenti в версиях до 0.7.2, приводит к Arbitrary File Writing. Уязвимость обусловлена отсутствием ограничений каталогов, в которых можно производить запись (см. source code), что позволяло злоумышленнику записать содержимое в произвольные файлы. В исправлении была скорректирована функция формирования пути к файлу через использование текущей директории (os.Getwd()) и санитизации названий файлов (filepath.Clean()).

🐛 CVE-2024-48910, обнаруженная в dompurify в версиях до 2.4.2, приводит к Prototype Pollution. Проблема заключалась в возможности злоумышленника влиять на свойства объекта через загрязнение прототипа, от которого он создан (см. source code), что позволяло злоумышленнику, например, изменять списки разрешенных атрибутов и внедрять произвольный JavaScript код, тем самым выполняя обход функции sanitize(). В исправлении в условие проверки возвращаемого значения функции hasOwnProperty() было добавлено строгое равенство через оператор '===' на true.

🐛 CVE-2024-38094, обнаруженная в Microsoft SharePoint 2019 в версиях до 16.0.10412.20001 приводит к Remote Code Execution (RCE). Проблема заключалась в возможности аутентифицированного злоумышленника с правами Site Owner внедрить и выполнить произвольный код, используя недостаток десериализации данных на конечной точке API vti_bin/client.svc/ProcessQuery. Информация об уязвимости и уязвимых версиях находится в Security Advisory.
1,245
Positive Development Community

01 Nov, 07:55

Попробуем сделать эту пятницу чуть более настоящей? ☺️
1,533
Positive Development Community

30 Oct, 17:54

🛢Уже на следующей неделе увидимся на byteoilgas_conf 2024 — конференции для разработчиков, создающих продукты для нефтегазовой отрасли. Она пройдет 7–8 ноября в Москве в Hyatt Regency Moscow Petrovsky Park. Positive Technologies — соорганизатор мероприятия.

📍Советуем вам посетить зал «Белый» — есть как минимум две причины:

Во-первых, здесь пройдет наш собственный трек, посвященный безопасности приложений и искусственного интеллекта. Темы выступлений и спикеры уже опубликованы.

Во-вторых, 8 ноября в 12:10 наши эксперты проведут в этом зале воркшоп по безопасной разработке в «облаке». Будет полезно ИТ-архитекторам, разработчикам приложений, DevOps-специалистам и всем тем, кто хочет узнать больше о DevSecOps.

Вы научитесь:
• использовать лучшие практики безопасной разработки;
• искать уязвимости с помощью инструментов для поиска секретов, статического, динамического и компонентного анализа;
• строить защищенные CI/CD-пайплайны в «облаке» и тестировать их.

Что понадобится:
• ноутбук с любым браузером и доступом в интернет;
• установленный Docker;
• аккаунт на GitLab или GitHub;
• IDE (VS Code, IntelliJ IDE);
• хорошее настроение😊

📌 Для участия нужно сначала зарегистрироваться на конференцию, а потом записаться отдельно на воркшоп. И то, и другое бесплатно. Ждем вас!
1,340
Positive Development Community

30 Oct, 07:19

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-47881, обнаруженная в OpenRefine в версиях с 3.4 до 3.8.3, приводит к Remote Code Execution. Проблема заключалась в возможности загрузки DLL через манипулирование именем базы данных в методе getDatabaseUrl() (см. source code), что позволяло злоумышленнику подгружать DLL файлы и исполнять произвольный код. В исправлении были добавлены методы контроля имени БД и дополнительные настройки ограничения режима доступа (read-only).

🐛 CVE-2024-49766, выявленная в Werkzeug в версиях до 3.0.5, приводит к Path Traversal. Уязвимость обусловлена отсутствием обработки UNC путей в методе safe_join() при использовании функции os.path.isabs() из версии Python < 3.11 (см. source code), что позволяло злоумышленнику выполнить обход пути в ОС Windows. В исправлении была добавлена проверка filename.startswith("/") для контроля UNC пути.

🐛 CVE-2024-48963, обнаруженная в Snyk PHP CLI Plugin в версиях до 1.10.0, приводит к OS Command Injection. Проблема заключалась в прямом попадании недоверенных данных в результирующую строку, которая передавалась в метод childProcess.spawnSync() (см. source code) что позволяло внедрить команды ОС используя пути к сканируемым файлам. В исправлении метод формирования аргументов, передаваемых в метод childProcess.spawnSync(), был заменен на использование параметризированного подхода

🐛 CVE-2024-47821, выявленная в модуле pyload-ng в версии 0.5.0, приводит к Remote Code Execution (RCE). Уязвимость обусловлена наличием возможности использования системных путей для хранения пользовательских файлов, что могло потенциально привести к выполнению произвольного кода после загрузки файла. В исправлении были введены проверки на разрешенные пути для каталога хранения загружаемых файлов.

🐛 CVE-2024-9488, обнаруженная в плагине Comments-wpdiscuz для WordPress в версиях до 7.6.25, приводит к Authentication Bypass. Проблема заключалась в недостаточной проверке пользователей, которые использовали возможность аутентификации с помощью social login token, что позволяло неавторизированному злоумышленнику войти под видом любого пользователя, в том числе и под видом пользователей с правами администратора. Информация об уязвимости и уязвимых версиях находится в Security Advisory.
748
Positive Development Community

25 Oct, 07:11

В последнюю пятницу октября и без мемов?! 🙅‍♂️
1,387
Positive Development Community

24 Oct, 15:20

🔥 Как сократить баги и ускорить релизы с помощью безопасной разработки

Ты создаешь крутые приложения, но баги и уязвимости продолжают отнимать драгоценное время, особенно когда горят дедлайны? 😬

Представь, что ты можешь защитить свой код на каждом этапе разработки и при этом сэкономить нервы и время! Мы разработали новый курс «Безопасность приложений для разработчиков», чтобы показать, что безопасность — это не про сложности, а про качество и экономию времени.

🎯 Почему стоит записаться?

- Ты научишься строить защиту ещё на этапе планирования, минимизируя уязвимости.

- Безопасность не замедлит процесс — мы покажем, как сохранять темп и укладываться в дедлайны.

- Меньше проблем на проде — ты будешь предотвращать уязвимости на ранних стадиях, избегая лишних правок.

👨‍💻 Авторы курса — эксперты Positive Technologies, одной из лидирующих компаний на рынке кибербезопасности. Ты будешь учиться у профессионалов, которые ежедневно работают над безопасностью приложений.

Старт курса 25 ноября, длительность — 3 недели, формат — онлайн. Учись в любое время и из любой точки.

Не трать время на исправления багов — записывайся на курс и учись предотвращать их заранее!

👉 [Забронировать место на курсе]
1,048
Positive Development Community

23 Oct, 16:20

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-48914, обнаруженная в vendure/asset-server-plugin в версиях до 2.3.3 и 3.0.5, приводит к Path Traversal. Проблема заключалась в попадании пользовательских данных после их обработки с помощью функции decodedReqPath() непосредственно в path.join() (см. source code), что позволяло злоумышленнику получить доступ к произвольным файлам на хосте. В исправлении был добавлен метод sanitizeFilePath() , в котором пользовательский ввод нормализуется (path.normalize()) и санитизируется с использованием регулярного выражения (\.\.[\/\\])+) .

🐛 CVE-2024-47874, выявленная в starlette в версиях до 0.39.2, приводит к Denial of Service (DoS). Уязвимость обусловлена сохранением результатов обработки частей multipart/form-data в буфер без каких-либо ограничений по размеру (см. source code), что позволяло злоумышленнику загружать произвольные большие поля формы. В исправлении было введено ограничение на максимальный размер передаваемых частей (max_part_size), при превышении которого срабатывает исключение MultiPartException.

🐛 CVE-2024-21535, обнаруженная в markdown-to-jsx в версиях до 7.4.0, приводит к Cross-Site Scripting (XSS). Проблема заключалась в отсутствии контроля за атрибутом src в процессе санитизации (см. source code), что позволяло злоумышленнику внедрить произвольный JavaScript код через элемент iframe в markdown. В исправлении был добавлен контроль за атрибутом src тэга iframe с помощью введения нового контроля.

🐛 CVE-2024-47870, выявленная в gradio в версиях до 5.0.0, приводит к Race Conditions. Уязвимость обусловлена возможностью изменения конфигурации в многопоточном режиме работы (см. source code), что позволяло злоумышленнику перенаправить пользовательский трафик на вредоносный сервер. В исправлении была добавлена функция safe_deepcopy() для обеспечения защиты от параллельного изменения конфигурации.

🐛 CVE-2024-9264, обнаруженная в Grafana в версии с 11.0.0 по 11.0.5 приводит к SQL Injection. Проблема заключалась в возможности любого аутентифицированного пользователя с правами VIEWER и выше внедрить произвольный код в SQL запрос и, например, прочитать произвольные файлы на хосте. Информация об уязвимости и уязвимых версиях находится в Security Advisory.
962
Positive Development Community

18 Oct, 06:44

«Даже невеселая пятница может стать чуть светлее, если успеть вовремя посмотреть мемы» (с) Конфуций ✍️
1,344
Positive Development Community

16 Oct, 07:48

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-47823, обнаруженная в livewire в версиях до 2.12.7 и 3.5.2, приводит к Arbitrary File Upload. Проблема заключалась в логике определения расширения файла по MIME (см. source code), что позволяло загружать произвольные файлы. В исправлении функция guessExtension(), которая определяет расширение файлов по MIME, была заменена на функцию getClientOriginalExtension(), которая определяет расширение из имени файла.

🐛 CVE-2024-47885, выявленная в astro в версиях с 3.0.0 по 4.16.0, приводит к Cross-Site Scripting (XSS). Уязвимость заключалась в неправильном использовании свойства document.scripts для осуществления контроля (см. source code), что позволяло злоумышленнику вставлять определенные HTML-теги с навязанными атрибутами. В исправлении использование свойства document.scripts было заменено на document.getElementsByTagName('script').

🐛 CVE-2024-28168, обнаруженная в xmlgraphics-fop в версиях до 2.9, приводит к XML External Entity (XXE). Проблема заключалась в отсутствии настройки безопасности обработчика (см. source code), что позволяло внедрять произвольные сущности в передаваемом XML. В исправлении была добавлена настройка XMLConstants.FEATURE_SECURE_PROCESSING со значением true, которая позволяет включить безопасный процесс обработки XML.

🐛 CVE-2024-21534, выявленная в jsonpath-plus в версиях до 10.0.0, приводит к Remote Code Execution (RCE). Уязвимость обусловлена небезопасным использованием модуля node:vm для анализа выражений, что позволяло злоумышленнику внедрить вредоносный код и выполнить его в контексте приложения. В исправлении был переработан процесс использования модуля node:vm, также была скорректирована проверка свойств объектов.

🐛 CVE-2024-8963, обнаруженная в Ivanti CSA в версиях до 4.6 приводит к Path Traversal. Проблема заключалась в возможности злоумышленника, которые не прошел аутентификацию, получить доступ к функциям с ограниченным доступом. Информация об уязвимости и уязвимых версиях находится в Security Advisory.
957
Positive Development Community

11 Oct, 13:17

А вот и пятничные мемчики 🙌
1,504

2025 All Right Reserved

Disclaimer: The content displayed on this website is solely provided by the respective Telegram channels. We hold no ownership or responsibility for the content shared by these channels.