🔍 Наиболее интересные уязвимости

🐛 CVE-2024-35219, обнаруженная в openapi-generator в версиях до 7.5.0, приводит к Path Traversal. Проблема заключалась в возможности злоумышленника через настройку outputFolder читать и удалять файлы, которые находятся на сервере. В исправлении разработчики исключили использование опции outputFolder для построения пути к каталогу.

🐛 CVE-2024-35226, выявленная в шаблонизаторе Smarty в версиях 4.5.3, приводит к Code Injection. Уязвимость обусловлена возможностью злоумышленника внедрить в шаблон исполняемый PHP код через тег extends. В исправлении для тега extend было удалено использование функции compileInclude(), обеспечивающую вставку и исполнение PHP кода.

🐛 CVE-2024-36109, выявленная в Cocalc в версиях до коммита 419862a9c9879c, приводит к Cross-Site Scripting (XSS). Проблема заключалась в возможности злоумышленника внедрить JavaScript код с помощью тегов <noscript> при рендеринге формата Markdown. В исправлении тег <noscript> был исключен из "белового" списка и была удалена его обработка при рендеринге скриптов библиотеки mathjax.

🐛 CVE-2024-36039, выявленная в библиотеке PyMySql в версиях до 1.1.1, приводит к SQL-injection. Уязвимость обусловлена возможностью злоумышленника выполнить произвольные SQL запросы при обращении к базе, внедряя полезную нагрузку в наименования ключей словаря. В исправлении была убрана поддержка обработки данных типа Dict.

🐛 CVE-2024-27348, обнаруженная в Apache HugeGraph-Server в версиях с 1.0.0 до 1.3.0, приводит к Remote Code Execution (RCE). Проблема заключалась в возможности злоумышленника удаленно выполнять код на сервере, используя недостаток обработки пользовательского ввода в интерфейсе Gremlin. Информация об уязвимости, уязвимых версиях, рекомендациях по обновлению и возможных превентивных мерах находится в Security Advisory.

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-36399, обнаруженная в Kanboard в версиях до 1.2.36, приводит к Insecure Direct Object References (IDOR). Проблема заключалась в возможности использовать id проекта из входящего запроса. В исправлении была добавлена проверка CSRF-токенов и убрана возможность напрямую использовать параметр project_id из запроса при добавлении пользователя или группы.

🐛 CVE-2024-5585, выявленная в PHP в версиях от 8.1.* до 8.1.29, приводит к OS Command Injection. Уязвимость обусловлена возможностью злоумышленника в случае контроля аргументов функции proc_open() внедрить произвольные команды ОС Windows. Такое поведение возникает при использовании в конце имени скрипта пробела для аргумента функции proc_open(), что позволяет обойти встроенный механизм экранирования. В исправлении были доработаны методы преобразования путей с помощью внедрения функций GetLongPathNameW() и GetFullPathNameW().

🐛 CVE-2024-32464, обнаруженная в Ruby on rails в версиях с 7.1.0 до 7.1.3.4, приводит к Cross-Site Scripting (XSS). Проблема заключалась в возможности злоумышленника внедрить полезную нагрузку в экземпляры ActionText::Attachable::ContentAttachment, включенные в теги rich_text_area. В исправлении была добавлена санитизация экземпляров с помощью функции sanitize_content_attachment(), которая позволяет фильтровать теги и атрибуты с помощью sanitizer_allowed_tags и sanitizer_allowed_attributes.

🐛 CVE-2024-36361, выявленная в шаблонизаторе pug в версиях c 3.0.2, приводит к Code Injection. Уязвимость обусловлена возможностью злоумышленника внедрить исполняемый код в название шаблона, который нужно использовать. В исправлении была внедрена проверка передаваемого значения templateName через контроль по регулярному выражению ^[0-9a-zA-Z\-\_]+?$.

🐛 CVE-2024-4577, обнаруженная в PHP в версиях с 8.1 до 8.1.29, приводит к Remote Code Execution (RCE). Проблема заключалась в возможности вызова исполняемого модуля php.exe c аргументами из HTTP запроса в CGI-режиме. Уязвимость обусловлена реализацией в Windows возможности "Best-Fit mapping" при кодировании символов, что позволяет обойти экранирование. Информация об уязвимости, уязвимых версиях, рекомендациях по обновлению находится в Security Advisory. В статье от специалистов команды DevCore подробно расписана информация о CVE-2024-4577.