🔍 Наиболее интересные уязвимости

🐛 CVE-2024-38514, обнаруженная в ChatGPT-Next-Web в версиях до 2.12.4, приводит к Server Side Request Forgery (SSRF). Проблема заключалась в возможности злоумышленника внедрить полезную нагрузку при обращении к /api/webdav/chatgpt-next-web/backup.json в параметр http-запроса endpoint и выполнить запрос к сторонним ресурсам, которые не находятся в "белом" списке, из-за некорректного процесса валидации получаемых данных. В исправлении была добавлена функция normalizeUrl, которая в качестве входных данных принимает значения параметра, помещает их в конструктор URL() и возвращает в нормализованном виде, и изменена логика процесса валидации.

🐛 CVE-2024-21520, выявленная в django-rest-framework в версиях до 3.15.2, приводит к Cross-site Scripting (XSS). Уязвимость обусловлена возможностью злоумышленника внедрить в значение заголовка http-запроса полезную нагрузку, которая в дальнейшем без санитизации попадет в html тэги <br> в шаблон при условии, что её значение больше 160 символов и в ней есть символ ",". В исправлении в функцию break_long_headers был добавлен метод escape(), который предназначен для санитизации получаемых значений.

🐛 CVE-2024-39309, обнаруженная в Parse Server в версиях до 6.5.7, приводит к SQL Injection. Проблема заключалась в возможности обхода регулярных выражений, использующихся для фильтрации входных данных, и выполнения произвольного SQL кода при работе с PostgreSQL. В исправлении были добавлены паттерн /'+/g, который используется для поиска всех вхождений символа одинарной кавычки в строке, и функция экранирования, которая применяется в случае, если вхождения, обнаруженные с помощью добавленного регулярного выражения, имеют нечетное количество символов.

🐛 CVE-2024-38374, выявленная в cycledx-core-java в версиях с 2.1.0 по 9.0.4, приводит к XML external entity (XXE). Уязвимость обусловлена возможностью злоумышленника внедрять внешние сущности в спецификацию CycloneDX в формате XML из-за использования небезопасного анализатора xPathExpression при обработке. В исправлении анализатор был заменен на DocumentBuilderFactory, который в последующем был настроен путём добавления параметров ACCESS_EXTERNAL_DTD и ACCESS_EXTERNAL_SCHEMA со значениями "".

🐛 CVE-2024-5655, обнаруженная в GitLab CE/EE в версиях с 15.8 до 16.11.5, приводит к Broken Access Control. Проблема заключалась в возможности злоумышленника запускать пайплайны от имени других пользователей. Информация об уязвимости, уязвимых версиях, рекомендациях по обновлению и внесенных изменениях находится в Patch Release.

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-38519, обнаруженная в yt-dlp в версиях до 2024.07.01, приводит к Path Traversal. Проблема заключалась в возможности злоумышленника внедрить полезную нагрузку в имя загружаемого файла и перезаписать произвольные файлы в файловой системе из-за отсутствия проверки расширений. В исправлении была добавлена санитизация расширений получаемых файлов с помощью метода sanitize_extension(), а также их проверка с значениями из "белого" списка ALLOWED_EXTENSIONS.

🐛 CVE-2024-39943, выявленная в Rejetto HFS в версиях до 0.52.10, приводит к OS Command Injection. Уязвимость обусловлена возможностью аутентифицированного злоумышленника, который имеет права на загрузку файлов, внедрить и выполнить команды ОС из-за использования опасной функции execSync() при обработке получаемых данных. В исправлении был изменен метод getDiskSpaceSync путем замены функции execSync() на безопасную функцию spawnSync().

🐛 CVE-2024-39687, выявленная в fedify в версиях до 0.11.2, приводит к Server-side request forgery (SSRF). Уязвимость обусловлена возможностью злоумышленника обращаться к хостам в внутренней сети при попытке загрузки файлов JSON-LD из-за отсутствия валидации получаемых сетевых адресов. В исправлении в методы fetchDocumentLoader() и getAuthenticatedDocumentLoader() была добавлена валидация получаемого значения с помощью функции validatePublicUrl(), которая включает в себя проверку на принадлежность к адресам внутренней сети.

🐛 CVE-2024-38513, выявленная в fiber в версиях до 2.52.4, приводит к Session Fixation. Уязвимость обусловлена возможностью злоумышленника создавать новые сеансы, указывая произвольные значения session_id. В исправлении была предотвращена возможность использования произвольных значений идентификаторов, путем добавления проверки на валидность получаемых значений и генерации новых идентификаторов в случае, если проверки не были пройдены.

🐛 CVE-2024-36991, обнаруженная в Splunk Enterprise в верисях до 9.2.2, приводит к Path Traversal. Проблема заключалась в возможности злоумышленника, не прошедшего аутентификацию, получить доступ к произвольным файлам на хосте при обращении к эндпоинту /modules/messaging/. Информация об уязвимости, рекомендациях по обновлению и уязвимых версиях находится в Security Advisory.

💻 Инструменты безопасной разработки Positive Technologies интегрированы с Dev Platform от VK Cloud

С ростом количества кибератак обязательным критерием качества любого ИТ-решения, наряду с его функциональностью и удобством, становится и устойчивость к атакам злоумышленников.

Поэтому компании-разработчики, ориентированные на создание надежного и эффективного программного обеспечения, все чаще внедряют принципы и инструменты безопасной разработки в цикл создания приложений.

Dev Platform от VK Cloud позволяет компаниям разрабатывать ПО и не тратить время на настройку и интеграцию инструментов для DevSecOps.

В нее интегрированы:

🐈‍⬛️ PT BlackBox — динамический анализатор приложений.

👁 PT Application Inspector — статический анализатор приложении.

🎁 PT Container Security — продукт для мониторинга активности, выявления аномалий и защиты контейнерных сред.

Разработчики смогут находить и устранять уязвимости еще на ранних этапах написания кода. Это позволит сократить время на отладку процессов и даст возможность быстрее выводить проект на рынок.

«Интеграция продуктов Positive Technologies с Dev Platform — это ответ на возрастающий интерес рынка к разработке ПО с учетом требований безопасности», — отметил Иван Соломатин, руководитель развития бизнеса защиты приложений Positive Technologies.

@Positive_Technologies