🔍 Наиболее интересные уязвимости

🐛 CVE-2025-10096, обнаруженная в SimStudioAI sim (версии до 1.0.0), приводит к Server-Side Request Forgery (SSRF). Проблема заключалась в манипуляции аргументом filePath в файле apps/sim/app/api/files/parse/route.ts, что позволяло удалённо выполнять запросы от имени сервера. В исправлении добавлена проверка входных данных с помощью методов validateImageUrl() и validateProxyUrl().

🐛 CVE-2025-58745, обнаруженная в WeGIA (версия 3.4.11), приводит к Remote Code Execution (RCE). Проблема заключалась в проверке только MIME-типов для Excel-файлов на конечной точке /html/socio/sistema/controller/controla_xlsx.php, что позволяет обойти защиту и выполнить произвольный код. В исправлении "черный" список разрешений файлов был заменен на "белый".

🐛 CVE-2025-55727, обнаруженная в XWiki Remote Macros (версии с 1.0 до 1.26.5), приводит к Remote Code Execution (RCE). Проблема заключалась в отсутствии экранирования параметра width в макросе column, что позволяло выполнить инъекцию XWiki синтаксиса и приводило к выполнению кода. В исправлении добавлено экранирование параметра с помощью $services.rendering.escape().

🐛 CVE-2025-58760, обнаруженная в Tautulli (версии до 2.15.3), приводит к Path Traversal. Проблема заключалась в отсутствии проверки пути в API /image, что позволяло неаутентифицированным пользователям читать произвольные файлы, включая tautulli.db и config.ini. В исправлении добавлена проверка относительности путей.

🐛 CVE-2025-55748, обнаруженная в xwiki (версии 4.2-milestone-2–16.10.6), приводит к Local File Inclusion (LFI). Проблема заключалась в отсутствии проверки пути в параметре resource, что позволяло читать конфигурационные файлы через ssx/sx endpoints. В исправлении была заменена прямая работа с ClassLoader#getResource* на безопасные обёртки ClassLoaderUtils.getResource*(prefix, name) с валидацией префикса и имени с формированием исключения IllegalArgumentException при отрицательном результате проверки.

Если вы, или ваши коллеги, до сих пор не знаете, с чего начать свой путь в безопасной разработке, то начать можно прямо с этого подкаста 🙂

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-54123, обнаруженная в SpectoLabs Hoverfly (версии до 1.12.0), приводит к Remote Code Execution (RCE). Проблема заключалась в отсутствии валидации и экранирования пользовательского ввода в endpoint /api/v2/hoverfly/middleware, что позволяло передавать команды напрямую в систему. В исправлении по умолчанию отключили API установки middleware.

🐛 CVE-2025-58765, обнаруженная в webrecorder (wabac.js v2.23.10 и ниже), приводит к Cross-site Scripting (XSS). Проблема заключалась в том, что параметр requestURL напрямую вставлялся в HTML форму без экранирования или санитизации. В исправлении добавлена сериализация значения requestURL перед вставкой в скрипт с помощью JSON.stringify().

🐛 CVE-2025-58766, обнаруженная в dyad-sh (версии v0.19.0 и ранее), приводит к Remote Code Execution (RCE). Проблема заключалась в отсутствии изоляции preview window, что позволяло вредоносному web-контенту выполнять произвольный код вне Docker-контейнера. В исправлении реализована строгая изоляция preview window и ограничение доступа к системным ресурсам с помощью установки атрибута sandbox тэга iframe.

🐛 CVE-2025-59340, обнаруженная в HubSpot jinjava (версии до 2.8.1), приводит к Remote Code Execution (RCE). Проблема заключалась в возможности десериализации произвольных классов через mapper.getTypeFactory().constructFromCanonical(), что позволяло обойти песочницу и создавать опасные объекты. В исправлении добавлены ограничения на десериализацию произвольных объектов с помощью метода isRestrictedClass().

🐛 CVE-2025-59424, обнаруженная в Kovah LinkAce (до 2.3.1), приводит к Cross-site Scripting (XSS). Проблема заключалась в отсутствии санитизации поля username перед выводом в журнале аудита, что позволяло внедрять вредоносный JavaScript. В исправлении добавлена валидация символов, из которых может состоять username, с помощью свойства alpha_dash.