🔍 Наиболее интересные уязвимости

🐛 CVE-2025-62364, обнаруженная в oobabooga (версии до 3.14), приводит к Local File Inclusion (LFI). Проблема заключалась в обработке загрузки файлов, где приложение следовало символическим ссылкам и раскрывало содержимое произвольных файлов. В исправлении была добавлена жёсткая проверка пути и блокировка symlink: введена функция open_image_safely() с os.path.islink() и проверкой существования файла, UI-компоненты Gradio переключены с type='pil' на type='filepath', чтобы работать с путями и применять валидацию до открытия изображения.

🐛 CVE-2025-62156, обнаруженная в argoproj Argo Workflows (версии до 3.6.12 и 3.7.0–3.7.2), приводит к Path traversal. Проблема заключалась в отсутствии проверки, что header.Name при распаковке архива остаётся внутри целевой директории, что позволяло создавать или перезаписывать файлы вне /work/tmp, включая системные каталоги. В исправлении добавлена валидация результирующего пути: отклоняются абсолютные и traversal-пути, а извлекаемые записи разрешаются только если их итоговый путь остаётся префиксом директории назначения.

🐛 CVE-2025-62374, обнаруженная в Parse Javanoscript SDK (версии до 7.0.0), приводит к Prototype Pollution. Проблема заключалась в возможности инъекции вредоносного кода через функции ParseObject.fromJSON и другие, что позволяло удаленно выполнять произвольный код. В исправлении была добавлена валидация и фильтрация опасных ключей при сериализации/десериализации и регистрации классов, ужесточена проверка типов и отказ при обнаружении недопустимых путей.

🐛 CVE-2025-11849, обнаруженная в mammoth (версии до 1.11.0), приводит к Path traversal. Проблема заключалась в отсутствии проверки пути или типа файла при обработке docx-файла с изображением, содержащим внешний r:link, что позволяет читать произвольные файлы. В исправлении была по умолчанию отключена работа с внешними файлами: externalFileAccess переведён в false в стандартных опциях.

🐛 CVE-2025-62413, обнаруженная в MQTTX (версия 1.12.0), приводит к Cross-site Scripting (XSS). Проблема заключалась в некорректной обработке рендеринга MQTT message payload, что позволяло выполнять произвольные скрипты через HTML или JavaScript в контексте UI приложения. В исправлении была добавлена безопасная обработка XML-пейлоадов: введены функции isXML() и escapeXmlForHtml(), а в компоненте TreeNodeInfo.vue при определении формата xml вывод переведён на экранированный текст.

Итоги State of DevOps Russia 2025 
 
На вебинаре представим результаты «Исследования состояния DevOps в России 2025» — анализа индустрии, основанного на опросе более 4000 специалистов. Ежегодно «Экспресс 42» вместе с партнёрами выявляет технологические тренды и оценивает их влияние на эффективность разработки. В эфире примет участие Антон Жаболенко, директор по продуктам application security Positive Technologies, обсудит результаты исследования и поделится опытом построения DecSecOps.
 
Помимо ИБ в этом году исследовали Developer Experience, ИИ- и DevOps-инструменты, Kubernetes, внутренние платформы для разработки.
 
Вы узнаете: 
• какие инструменты сейчас популярны;
• какие характеристики Developer Experience отличают высокоэффективные команды;
• для каких задач используют ИИ-инструменты;
• как внедряют ИБ в процесс разработки;
• какие цели развития у внутренних платформ для разработки;
• какие изменения произошли на рынке труда за год.
 
Ждём вас на вебинаре!
 
Онлайн | 31 октября в 12:00
Зарегистрироваться https://clc.to/web_7sod25

До 70 % уязвимостей веб-приложений носят высокий или критический уровень, что приводит к утечкам, сбоям и прямым убыткам. Безопасная разработка помогает находить уязвимости до продакшена, избежать доработок, ускорить релизы и укрепить доверие клиентов.

На практикуме «Безопасность приложений для инженеров» от Positive Education мы поделимся проверенными методологиями и подходами. Эксперты программы – специалисты с многолетним опытом построения DevSecOps.

Команда экспертов поделится:
◦ дорожными картами внедрения безопасной разработки с учетом ролей и их ответственности
◦ методологиями по работе с SAST, DAST, SCA, моделированием угроз, фаззингом и интеграцией в CI/CD


На протяжении всего практикума участников будут сопровождать эксперты Positive Technologies. А все материалы останутся доступными в течение года – можно пересматривать и использовать реальных в проектах.

Подробнее о практикуме читайте на нашем сайте.

🔍 Наиболее интересные уязвимости

🐛 CVE-2025-62422, обнаруженная в dataease (версии до 2.10.14), приводит к SQL Injection. Проблема заключалась в том, что параметр tableName интерфейса /de2api/datasetData/tableField напрямую подставлялся в SQL-строку без валидации, что позволяло выполнять произвольные SQL-команды. В исправлении была добавлена белый список имен таблиц: перед выполнением запроса значение tableName сверяется с результатом getTables()

🐛 CVE-2025-62597, обнаруженная в WeGIA (версии до 3.5.1), приводит к Cross-Site Scripting (XSS). Уязвимость обусловлена тем, что эндпоинт /WeGIA/html/pessoa/editar_info_pessoal.php отражал содержимое параметра sql в ответе без экранирования, что позволяло выполнить произвольный JS-код в браузере пользователя. В исправлении был удалён вывод параметров запроса в ответ, добавлена централизованная обработка ошибок через Util::tratarException.

🐛 CVE-2025-62725, выявленная в Docker Compose в версиях до 2.40.2, приводит к Path Traversal. Проблема заключалась в том, что при работе с удалёнными OCI-артефактами Compose доверял аннотациям com.docker.compose.extends и com.docker.compose.envfile: значение из com.docker.compose.file/com.docker.compose.envfile конкатенировалось с локальным кэшем и файл записывался по сформированному пути, что позволяло выйти за пределы каталога кэша и перезаписывать произвольные файлы. В исправлении добавлены санитизация и валидация путей с помощью функции validatePathInBase()

🐛 CVE-2025-8709, обнаруженная в LangGraph (пакет langgraph-checkpoint-sqlite 2.0.10), приводит к SQL Injection. Уязвимость возникает из-за некорректной обработки ключей фильтрации, при которой используется прямая конкатенация строк без корректной параметризации, что позволяло произвольный SQL код. В исправлении добавлена проверка ключей фильтра регулярным выражением ^[a-zA-Z0-9_.-]+$ в методе _validate_filter_key()

🐛 CVE-2025-57325, обнаруженная в rollbar.js в версиях до 2.26.5 (≤ 2.26.4), приводит к Prototype Pollution. Проблема заключалась в том, что вспомогательная функция utility.set() позволяла записывать свойства в Object.prototype, что могло приводить как минимум к DoS и непредсказуемому поведению приложений. В исправлении в merge.js результирующий объект создаётся как Object.create(null), а в utility.set() перед разбором пути прототип целевого объекта обнуляется через Object.setPrototypeOf(obj, null)