❓ Вы ждали и спрашивали, когда же записи докладов с киберфестиваля PHDays Fest 2 появятся на нашем YouTube-канале

Мы не теряли времени и выкладывали сотни гигабайтов и часов видео. Они распределены по трекам и темам для того, чтобы было удобнее искать и смотреть то, что нужно именно вам (впереди для этого целые выходные 😊).

⬇️ Делимся ссылками на плейлисты ⬇️

👀 Для всех

• Научпоп
• Lifestyle

🛡 Кибербезопасность:

• Offense
• Defense
• AI Track
• Blockchain
• Fast Track
• Community
• Evasion
• Международный
• Standoff

🧑‍💻 Разработка:

• General Development
• Secure Development
• Team Lead
• Data Engineering
• Languages and tools
• Python
• Platform Engineering

💰 Бизнес:

• Государство
• Школа CISO
• Архитектура ИБ
• SOC будущего
• Кибербез с разных сторон
• День инвестора Positive Technologies
• Big Boss
• Партнерский
• Вместе
• HR-трек
• Кибербез: с чего начать

Смотрите сами и делитесь ссылками с теми, кому будет интересно!

#PHD2

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-37896, обнаруженная в Gin-vue-admin в версиях до 2.6.6, приводит к SQL Injection. Проблема заключалась в возможности злоумышленника внедрить произвольный SQL код в параметр http-запроса order при обращении к эндпоинту /api/sysExportTemplate/exportExcel. В исправлении были добавлены проверки на корректность значения параметра order, перед его использованием в SQL-запросе.

🐛 CVE-2024-38356, обнаруженная в TinyMCE в версиях до 5.11.0, приводит к Cross-Site Scripting(XSS). Проблема заключалась в возможности злоумышленника внедрить вредоносный код в специально созданные HTML-атрибуты, которые могут быть выполнены при извлечении содержимого из редактора. В исправлении была добавлена функция isValidContent(), которая используется для проверки переменной content, содержащей пользовательские данные, с помощью массива регулярных выражений nonEditableRegExps.

🐛 CVE-2024-36116, обнаруженная в Reposilite в версиях до 3.3.0, приводит к Path Traversal. Проблема заключалась в возможности внедрить полезную нагрузку в название файла внутри загружаемого архива Javadoc, которое в последующем без нормализации поступает в функцию Paths.get(), что позволяет создать произвольный файл. В исправлении был изменен алгоритм обработки загружаемых архивов, путем преобразования имен файлов внутри архива в пути, которые в дальнейшем проходят проверку принадлежности относительно родительской директории javadocUnpackPath.

🐛 CVE-2024-37902, выявленная в DeepJavaLibrary(DJL) в версиях с 0.1.0 по 0.27.0, приводит к Path Traversal. Уязвимость обусловлена возможностью злоумышленника создать архив, в составе которого будут находится файлы с названиями, содержащими пути файловой системы, загрузить его и перезаписать произвольные файлы. В исправлении был добавлен метод removeLeadingFileSeparator, который с помощью File.separatorChar убирает символы разделители из названий файлов, находящихся в загружаемых архивах.

🐛 CVE-2024-4358, обнаруженная в Progress Telerik Report Server в версиях до 2024 Q1 (10.0.24.305), приводит к Authentication Bypass. Проблема заключалась в возможности злоумышленника, не прошедшего проверку подлинности, получить доступ к ограниченным функциям сервера отчетов Telerik. Информация об уязвимости, уязвимых версиях, рекомендациях по обновлению и возможных превентивных мерах находится в Security Advisory

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-38514, обнаруженная в ChatGPT-Next-Web в версиях до 2.12.4, приводит к Server Side Request Forgery (SSRF). Проблема заключалась в возможности злоумышленника внедрить полезную нагрузку при обращении к /api/webdav/chatgpt-next-web/backup.json в параметр http-запроса endpoint и выполнить запрос к сторонним ресурсам, которые не находятся в "белом" списке, из-за некорректного процесса валидации получаемых данных. В исправлении была добавлена функция normalizeUrl, которая в качестве входных данных принимает значения параметра, помещает их в конструктор URL() и возвращает в нормализованном виде, и изменена логика процесса валидации.

🐛 CVE-2024-21520, выявленная в django-rest-framework в версиях до 3.15.2, приводит к Cross-site Scripting (XSS). Уязвимость обусловлена возможностью злоумышленника внедрить в значение заголовка http-запроса полезную нагрузку, которая в дальнейшем без санитизации попадет в html тэги <br> в шаблон при условии, что её значение больше 160 символов и в ней есть символ ",". В исправлении в функцию break_long_headers был добавлен метод escape(), который предназначен для санитизации получаемых значений.

🐛 CVE-2024-39309, обнаруженная в Parse Server в версиях до 6.5.7, приводит к SQL Injection. Проблема заключалась в возможности обхода регулярных выражений, использующихся для фильтрации входных данных, и выполнения произвольного SQL кода при работе с PostgreSQL. В исправлении были добавлены паттерн /'+/g, который используется для поиска всех вхождений символа одинарной кавычки в строке, и функция экранирования, которая применяется в случае, если вхождения, обнаруженные с помощью добавленного регулярного выражения, имеют нечетное количество символов.

🐛 CVE-2024-38374, выявленная в cycledx-core-java в версиях с 2.1.0 по 9.0.4, приводит к XML external entity (XXE). Уязвимость обусловлена возможностью злоумышленника внедрять внешние сущности в спецификацию CycloneDX в формате XML из-за использования небезопасного анализатора xPathExpression при обработке. В исправлении анализатор был заменен на DocumentBuilderFactory, который в последующем был настроен путём добавления параметров ACCESS_EXTERNAL_DTD и ACCESS_EXTERNAL_SCHEMA со значениями "".

🐛 CVE-2024-5655, обнаруженная в GitLab CE/EE в версиях с 15.8 до 16.11.5, приводит к Broken Access Control. Проблема заключалась в возможности злоумышленника запускать пайплайны от имени других пользователей. Информация об уязвимости, уязвимых версиях, рекомендациях по обновлению и внесенных изменениях находится в Patch Release.