🔍 Наиболее интересные уязвимости

🐛 CVE-2024-36399, обнаруженная в Kanboard в версиях до 1.2.36, приводит к Insecure Direct Object References (IDOR). Проблема заключалась в возможности использовать id проекта из входящего запроса. В исправлении была добавлена проверка CSRF-токенов и убрана возможность напрямую использовать параметр project_id из запроса при добавлении пользователя или группы.

🐛 CVE-2024-5585, выявленная в PHP в версиях от 8.1.* до 8.1.29, приводит к OS Command Injection. Уязвимость обусловлена возможностью злоумышленника в случае контроля аргументов функции proc_open() внедрить произвольные команды ОС Windows. Такое поведение возникает при использовании в конце имени скрипта пробела для аргумента функции proc_open(), что позволяет обойти встроенный механизм экранирования. В исправлении были доработаны методы преобразования путей с помощью внедрения функций GetLongPathNameW() и GetFullPathNameW().

🐛 CVE-2024-32464, обнаруженная в Ruby on rails в версиях с 7.1.0 до 7.1.3.4, приводит к Cross-Site Scripting (XSS). Проблема заключалась в возможности злоумышленника внедрить полезную нагрузку в экземпляры ActionText::Attachable::ContentAttachment, включенные в теги rich_text_area. В исправлении была добавлена санитизация экземпляров с помощью функции sanitize_content_attachment(), которая позволяет фильтровать теги и атрибуты с помощью sanitizer_allowed_tags и sanitizer_allowed_attributes.

🐛 CVE-2024-36361, выявленная в шаблонизаторе pug в версиях c 3.0.2, приводит к Code Injection. Уязвимость обусловлена возможностью злоумышленника внедрить исполняемый код в название шаблона, который нужно использовать. В исправлении была внедрена проверка передаваемого значения templateName через контроль по регулярному выражению ^[0-9a-zA-Z\-\_]+?$.

🐛 CVE-2024-4577, обнаруженная в PHP в версиях с 8.1 до 8.1.29, приводит к Remote Code Execution (RCE). Проблема заключалась в возможности вызова исполняемого модуля php.exe c аргументами из HTTP запроса в CGI-режиме. Уязвимость обусловлена реализацией в Windows возможности "Best-Fit mapping" при кодировании символов, что позволяет обойти экранирование. Информация об уязвимости, уязвимых версиях, рекомендациях по обновлению находится в Security Advisory. В статье от специалистов команды DevCore подробно расписана информация о CVE-2024-4577.

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-37304, обнаруженная в NuGet Gallery в версиях до v2024.05.28, приводит к Cross-Site Scripting (XSS). Проблема заключалась в возможности злоумышленника внедрить скрипт через автоссылки в формате Markdown (например, <javanoscript:alert(1)>). В исправлении в функцию GetHtmlFromMarkdownMarkdig() была добавлена санитизация, получаемого html-кода, с использованием регулярного выражения "<a href=([\"\'])javanoscript:.*?\\1 rel=([\"'])noopener noreferrer nofollow\\1>".

🐛 CVE-2024-0520, обнаруженная в MLflow в версиях до 2.9.0, приводит к Arbitrary File Writing. Проблема заключалась в возможности злоумышленника внедрить полезную нагрузку в набор данных, который импортируется, и сохранить его в произвольное место в файловой системе. В исправлении в функции load() был добавлен контроль значения из заголовка http-запроса "Content-Disposition" на соответствие имени файла, с использованием функции os.path.basename().

🐛 CVE-2024-35225, выявленная в jupyter_server_proxy в версиях с 3.0.0 до 3.2.4 и 4.2.0, приводит к Cross-Site Scripting (XSS). Уязвимость позволяет злоумышленнику использовать значение host из состава path /proxy/<host> для инъекции скрипта в состав формируемого html-кода в ответе. В исправлении при обработки некорректных значений host ответ, содержащий значение host, формируется с использованием функции web.HTTPError(), которая отображает сообщение об ошибке только в режиме отладки.

🐛 CVE-2024-37301, обнаруженная в сервисе Document Merge Service до версии 6.5.2, приводит к Server-Side Template Injection (SSTI). Проблема заключалась в возможности злоумышленника внедрения в шаблон на стороне сервера исполняемого кода, который выполниться при рендере шаблона. В исправлении было изменено окружение для обработки шаблонов (функция SandboxedEnvironment()), которое перехватывает и запрещает опасное поведение в процессе рендера шаблона.

🐛 CVE-2024-35241, обнаруженная в Composer в версиях с 2.0 до 2.2.24, приводит к Command injection. Проблема заключалась в возможности злоумышленника внедрить исполняемые системные команды в название веток репозитория, которые исполнятся на удаленной стороне при работе с пакетами, установленными из этого репозитория через git, с помощью команд status, reinstall и remove. В исправлении был изменен процесс формирования команды, которая поступает в функцию execute(), с помощью функции ProcessExecutor::escape().