🔍 Наиболее интересные уязвимости

🐛 CVE-2024-34710, обнаруженная в wiki.js в версиях до 2.5.302, приводит к Cross-Site Scripting (XSS). Проблема заключалась в возможности злоумышленника внедрить вредоносный JavaScript код, который будет выполняться на стороне клиента. В исправлении выражения в фигурных скобках ({}) оборачивается тегом <p> и c атрибутом v-pre, который для Vue устанавливает запрет компиляции выражения.

🐛 CVE-2024-34071, выявленная в Umbraco-CMS в версиях от 8.18.5 до 8.18.14, приводит к Open redirect. Уязвимость обусловлена возможностью злоумышленника, прошедшего проверку подлинности, использовать уязвимый эндпоинт для открытого перенаправления. В исправлении была добавлена функция IsWellFormedWebPath(), которая определяет, правильно ли сформирован предоставленный путь в соответствии с указанным в аргументах UriKind.Relative.

🐛 CVE-2024-29651, обнаруженная в apidevtools/json-schema-ref-parser в версиях 11.0.0 и 11.1.0, приводит к Prototype Pollution. Проблема заключалась в возможности злоумышленника манипулировать прототипом объекта и влиять на поведение объектов, которые были унаследованы от этого прототипа. В исправлении была добавлена фильтрация данных, которые проходят слияние, путем применения "черного" списка c недопустимыми значениями "__proto__", "constructor", "prototype".

🐛 CVE-2024-35220, выявленная в fastify/session в версиях до 10.8.0, приводит к Identification and Authentication Failures. Уязвимость обусловлена возможностью злоумышленника использовать устаревшие файлы cookie для доступа к сеансам с истекшим сроком действия. В исправлении ввели дополнительное поле originalExpires и его проверку на превышение относительно текущей даты, по результатам которого производится сброс сессии.

🐛 CVE-2024-21683, обнаруженная в Confluence Data Center and Server в версии 8.9.0, приводит к Remote Code Execution (RCE). Проблема заключалась в возможности аутентифицируемого злоумышленника выполнить произвольный код. Подробная информация о CVE-2024-21683, затронутых версиях, рекомендациях по обновлениям содержится в официальном Security Advisory.

🤕 Почему мы не переживаем из-за блокировки доступа к Docker Hub в России

Сегодня стало известно, что репозиторий для хранения контейнеров, созданных с помощью Docker, заблокирован для пользователей из России.

😲 Чем это грозит?

На сегодня практически ничем: многие компании к этому приготовились еще два года назад и настроили кэширующие зеркала реестров образов.

Однако если у вас был корпоративный аккаунт, привязанный к российскому юридическому лицу, то могут возникнуть проблемы с доступами к вашим проектам (придется поменять настройки аккаунта).

🤔 Что делать?

Создать свое локальное хранилище образов контейнеров на базе решений с открытым исходным кодом, таких как GitLab, Harbor, Artifactory, с возможностью проксирования образов с Docker Hub. Так можно решить проблемы не только с доступом, но и с ограничением на вызовы API.

🎁 А как лучше и безопаснее?

С помощью PT Container Security вы можете подключить и настроить сканирование прокси-реестров в продукте, а при помощи интеграции через вебхуки можно настроить удаление образов с критически опасными уязвимостями. Подробнее — в чате команды нашего продукта.

Также отметим, что на сам движок Docker Engine (Apache 2.0) ограничения не распространяются.

@Positive_Technologies

👋 Вы знали, что в семнадцатом веке компьютеры были живыми, пили чай по утрам и ходили на работу?

А о том, что первые флешки появились пару столетий спустя и использовались для ткацких станков? Или, например, что первым программистом в истории была Ада Лавлейс — дочь лорда и поэта Джорджа Байрона? О том, что идеальная универсальная вычислительная машина придумана Тьюрингом в середине прошлого века, но все еще не может быть построена?

🤩 Наука проделала огромный путь от деревянных счетов до макбуков последней модели. И по этому пути прошло множество замечательных людей, ученых и сподвижников, влюбленных в свое дело, не желающих останавливаться на достигнутом, не боящихся рушить старые теории и выдвигать новые.

В первом выпуске «Комнаты 1337» рассказываем об эволюции вычислительной техники и отце всех компьютеров — Алане Тьюринге.

Смотрите его на нашем YouTube-канале и делитесь с теми, кому тоже интересно.

@PositiveHackMedia

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-35219, обнаруженная в openapi-generator в версиях до 7.5.0, приводит к Path Traversal. Проблема заключалась в возможности злоумышленника через настройку outputFolder читать и удалять файлы, которые находятся на сервере. В исправлении разработчики исключили использование опции outputFolder для построения пути к каталогу.

🐛 CVE-2024-35226, выявленная в шаблонизаторе Smarty в версиях 4.5.3, приводит к Code Injection. Уязвимость обусловлена возможностью злоумышленника внедрить в шаблон исполняемый PHP код через тег extends. В исправлении для тега extend было удалено использование функции compileInclude(), обеспечивающую вставку и исполнение PHP кода.

🐛 CVE-2024-36109, выявленная в Cocalc в версиях до коммита 419862a9c9879c, приводит к Cross-Site Scripting (XSS). Проблема заключалась в возможности злоумышленника внедрить JavaScript код с помощью тегов <noscript> при рендеринге формата Markdown. В исправлении тег <noscript> был исключен из "белового" списка и была удалена его обработка при рендеринге скриптов библиотеки mathjax.

🐛 CVE-2024-36039, выявленная в библиотеке PyMySql в версиях до 1.1.1, приводит к SQL-injection. Уязвимость обусловлена возможностью злоумышленника выполнить произвольные SQL запросы при обращении к базе, внедряя полезную нагрузку в наименования ключей словаря. В исправлении была убрана поддержка обработки данных типа Dict.

🐛 CVE-2024-27348, обнаруженная в Apache HugeGraph-Server в версиях с 1.0.0 до 1.3.0, приводит к Remote Code Execution (RCE). Проблема заключалась в возможности злоумышленника удаленно выполнять код на сервере, используя недостаток обработки пользовательского ввода в интерфейсе Gremlin. Информация об уязвимости, уязвимых версиях, рекомендациях по обновлению и возможных превентивных мерах находится в Security Advisory.