«Последняя пятница месяца не менее важна, чем следующая за ней первая» (с) Аристотель.
Всем чудесно завершить этот важный день, и поскорее начать готовиться к следующему🤗
Всем чудесно завершить этот важный день, и поскорее начать готовиться к следующему
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😁16❤4👍4❤🔥2
🔍 Наиболее интересные уязвимости
🐛 CVE-2026-24838, обнаруженная в DNN (DotNetNuke) в версиях до 9.13.10 и 10.2.0, приводит к Cross-Site Scripting (XSS). Проблема заключалась в том, что заголовок модуля поддерживал
🐛 CVE-2025-69662, обнаруженная в GeoPandas в версиях до 1.0.1, приводит к SQL Injection. Проблема заключалась в том, что в методе
🐛 CVE-2026-25130, обнаруженная в cai в версиях до 0.2.1, приводит к OS Command Injection. Проблема заключалась в том, что пользовательские аргументы напрямую попадали через f-строку в команду запуска, которая затем выполнялась системой, что позволяло добиться выполнения произвольных команд. В исправлении добавили "черный" список запрещённых опций
🐛 CVE-2026-24842, обнаруженная в node-tar в версиях до 7.4.1, приводит к Path Traversal. Проблема заключалась в том, что при распаковке проверка на наличие символов обхода пути применялась только к значениям
🐛 CVE-2026-24779, обнаруженная в vLLM в версиях до 0.8.4, приводит к Server-Side Request Forgery (SSRF).Проблема заключалась в том, что в методах
🐛 CVE-2026-24838, обнаруженная в DNN (DotNetNuke) в версиях до 9.13.10 и 10.2.0, приводит к Cross-Site Scripting (XSS). Проблема заключалась в том, что заголовок модуля поддерживал
richtext и мог содержать скрипты, которые в отдельных сценариях выполнялись в браузере, что позволяло выполнить произвольный JS в контексте пользователя. В исправлении добавили HTML-санитизацию на базе пакета HtmlSanitizer 🐛 CVE-2025-69662, обнаруженная в GeoPandas в версиях до 1.0.1, приводит к SQL Injection. Проблема заключалась в том, что в методе
_write_postgis() пользовательские данные напрямую попадали в SQL-запрос через f-строку, что позволяло атакующему внедрить произвольный SQL код. В исправлении добавлено использование параметризованных запросов c помощью bindparams(). 🐛 CVE-2026-25130, обнаруженная в cai в версиях до 0.2.1, приводит к OS Command Injection. Проблема заключалась в том, что пользовательские аргументы напрямую попадали через f-строку в команду запуска, которая затем выполнялась системой, что позволяло добиться выполнения произвольных команд. В исправлении добавили "черный" список запрещённых опций
DANGEROUS_FIND_FLAGS. 🐛 CVE-2026-24842, обнаруженная в node-tar в версиях до 7.4.1, приводит к Path Traversal. Проблема заключалась в том, что при распаковке проверка на наличие символов обхода пути применялась только к значениям
path, что открывало путь к записи/линковке файлов вне целевой директории распаковки с помощью ссылок. В исправлении добавили проверку на наличие символов обхода пути для ссылок. 🐛 CVE-2026-24779, обнаруженная в vLLM в версиях до 0.8.4, приводит к Server-Side Request Forgery (SSRF).Проблема заключалась в том, что в методах
load_from_url()/load_from_url_async() валидация хоста делалась через urllib.parse.urlparse() (RFC 3986), а HTTP-запрос выполнялся через requests, который разбирает URL через urllib3.parse_url() (WHATWG), что позволяло злоумышленнику обойти проверки имени хоста и совершать запросы к хостам в локальной сети В исправлении разработчики отказались от использования urllib для парсинга в пользу urllib3👍2
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Администрация выражает свою искреннюю озабоченность тем, что некоторые разработчики считают правильным проведением вечера пятницы работу над пет-проектами до самой ночи 😱
Мы призываем их немедленно отказаться от этого чудовищного и расшатывающего общепринятые устои мировоззрения, как можно скорее. Вы бы ещё в прод деплоить в пятницу собрались... 🤷♂️
Всем остальным — спокойного и ненапряжного дня с его скорейшим правильным завершением!🤗
Мы призываем их немедленно отказаться от этого чудовищного и расшатывающего общепринятые устои мировоззрения, как можно скорее. Вы бы ещё в прод деплоить в пятницу собрались... 🤷♂️
Всем остальным — спокойного и ненапряжного дня с его скорейшим правильным завершением!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13🤣7😁1