Обзор программы секции Development предстоящего PHDays 2 и наиболее интересных докладов для разработчиков и DevSecOps'ов ✍️

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-32964, обнаруженная в lobe-chat в версиях до 0.150.5, приводит к Server-Side Request Forgery (SSRF). Проблема заключалась в возможности злоумышленника создавать вредоносные запросы, вызывающие SSRF без входа в систему. Данная уязвимость позволяла злоумышленнику взаимодействовать с сервисами внутренней сети. В исправлении была добавлена проверка получаемого адреса на принадлежность к адресам внутренней сети с помощью метода isPrivate(...) пакета node-ip.

🐛 CVE-2024-32002, выявленная в git в версии 2.45.0, приводит к Remote Code Execution (RCE). Уязвимость обусловлена возможностью злоумышленника создавать репозитории с подмодулями таким образом, чтобы использовать ошибку в Git, из-за которой его можно обманом заставить записывать файлы не в рабочее дерево подмодуля, а в .git/ каталог. В исправлении были изменены функции clone_submodule() и dir_contains_only_dotgit() путем добавления проверки существования и отсутствия каталога подмодуля, а также наличия в папке назначения только директории или файла .git.

🐛 CVE-2024-34359, обнаруженная в llama_cpp_python в версиях с 0.2.30 до 0.2.71, приводит к Server-Side Template Injection (SSTI). Проблема заключалась в возможности злоумышленника внедрения в шаблон на стороне сервера через полезную нагрузку поля Metadata при загрузке файлов с расширением .gguf. В исправлении было изменено окружение для обработки шаблонов с использованием метода ImmutableSandboxedEnvironment().

🐛 CVE-2024-34082, выявленная в Grav в версиях до 1.7.46, приводит к Arbitrary File Reading. Уязвимость обусловлена возможностью злоумышленника с низким уровнем привилегий и правами на редактирование страниц читать любые файлы сервера, используя синтаксис Twig. В исправлении функция read_file(), которая используется для чтения файлов, была внесена в "черный" список $bad_twig.

🐛 CVE-2024-22120, обнаруженная в Zabbix c версии 6.0.0 по 6.0.27, приводит к SQL-Injection. Проблема заключалась в возможности злоумышленника влиять на SQL-запрос через параметр clientip, что могло привести к повышению привилегии от пользователя до администратора. Подробная информация об CVE-2024-22120 с примерами реализации различных векторов атак, рекомендациями по обновлению содержится в официальном Security Advisory.