Если вы, или ваши коллеги, до сих пор не знаете, с чего начать свой путь в безопасной разработке, то начать можно прямо с этого подкаста 🙂

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-54123, обнаруженная в SpectoLabs Hoverfly (версии до 1.12.0), приводит к Remote Code Execution (RCE). Проблема заключалась в отсутствии валидации и экранирования пользовательского ввода в endpoint /api/v2/hoverfly/middleware, что позволяло передавать команды напрямую в систему. В исправлении по умолчанию отключили API установки middleware.

🐛 CVE-2025-58765, обнаруженная в webrecorder (wabac.js v2.23.10 и ниже), приводит к Cross-site Scripting (XSS). Проблема заключалась в том, что параметр requestURL напрямую вставлялся в HTML форму без экранирования или санитизации. В исправлении добавлена сериализация значения requestURL перед вставкой в скрипт с помощью JSON.stringify().

🐛 CVE-2025-58766, обнаруженная в dyad-sh (версии v0.19.0 и ранее), приводит к Remote Code Execution (RCE). Проблема заключалась в отсутствии изоляции preview window, что позволяло вредоносному web-контенту выполнять произвольный код вне Docker-контейнера. В исправлении реализована строгая изоляция preview window и ограничение доступа к системным ресурсам с помощью установки атрибута sandbox тэга iframe.

🐛 CVE-2025-59340, обнаруженная в HubSpot jinjava (версии до 2.8.1), приводит к Remote Code Execution (RCE). Проблема заключалась в возможности десериализации произвольных классов через mapper.getTypeFactory().constructFromCanonical(), что позволяло обойти песочницу и создавать опасные объекты. В исправлении добавлены ограничения на десериализацию произвольных объектов с помощью метода isRestrictedClass().

🐛 CVE-2025-59424, обнаруженная в Kovah LinkAce (до 2.3.1), приводит к Cross-site Scripting (XSS). Проблема заключалась в отсутствии санитизации поля username перед выводом в журнале аудита, что позволяло внедрять вредоносный JavaScript. В исправлении добавлена валидация символов, из которых может состоять username, с помощью свойства alpha_dash.

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-59344, обнаруженная в aliasvault (версии до 0.23.1 включительно), приводит к Server-side Request Forgery (SSRF). Проблема заключалась в том, что favicon extractor следовал редиректам и не блокировал обращения к loopback и внутренним IP-адресам. В исправлении добавлена проверка и блокировка внутренних и loopback-адресов при обработке URL внутренним методом IPAddressValidator.IsPublicIPAddress(), обработка редиректов с помощью FollowRedirectsAsync().

🐛 CVE-2025-59534, обнаруженная в nasa CryptoLib (версии до 1.4.2), приводит к OS Command Injection. Проблема заключалась в том, что пользовательский ввод напрямую подставлялся в shell-команду и выполнялся через system() без проверки. В исправлении опасная функция system() была заменена на execlp(), также добавлена валидация пользовательского ввода.

🐛 CVE-2025-48868, обнаруженная в horilla-opensource (версии до 1.3.1), приводит к Remote Code Execution (RCE). Проблема заключалась в небезопасном использовании eval() для обработки пользовательского параметра в project_bulk_archive view. В исправлении удалён вызов eval() и реализована дополнительная обработка входных данных.

🐛 CVE-2025-60249, обнаруженная в vulnerability-lookup 2.16.0, приводит к Cross-site Scripting (XSS). Проблема заключалась в небезопасном использовании innerHTML и недостаточной валидации динамических URL и полей модели, что позволяло внедрять произвольный JavaScript. В исправлении метод innerHTML заменен на безопасные методы DOM, добавлено кодирование URL с помощью encodeURIComponent, а также появилась санитизация пользовательского ввода.

🐛 CVE-2025-59934, обнаруженная в formbricks (версии до 4.0.1), приводит к Broken Access Control. Проблема заключалась в отсутствии проверки подписи, срока действия и других параметров JWT — токены просто декодировались без верификации. В исправлении добавлена проверка токенов методом jwt.verify() с использованием NEXTAUTH_SECRET, добавлен fallback для легаси-токенов.