🔍 Наиболее интересные уязвимости прошедшей недели

🐛 CVE-2023-41580, обнаруженная в платформе управления IP-адресами phpipam до версии 1.5.2, позволяет аутентифицированному атакующему получать конфиденциальные данные из хранилища через LDAP инъекцию. Уязвимость заключается в отсутствии санитизации пользовательских данных, попадающих в функцию $adldap->user()->info, которая формирует LDAP запросы для получения данных о пользователе. В исправлении данные, попадающие в LDAP запрос, проходят через экранирующую функцию ldap_escape с флагом LDAP_ESCAPE_DN.

🐛 CVE-2023-42809 в клиенте Redisson до версии 3.22.0 позволяет исполнять произвольный код при подключении к вредоносному серверу. Уязвимость заключается в попадании пользовательских данных в функцию ObjectInputStream.readObject и их небезопасной десериализации. В патче был добавлен "белый" список классов, который определяет разрешенные объекты при десериализации. Упрощению эксплуатации способствует наличие в составе Redisson библиотеки "Apache Commons Collections 4", для которой существует стандартный ysoserial гаджет "CommonsCollections2".

🐛 CVE-2023-43793 в децентрализованной социальной медиа платформе Misskey до версии 2023.9.0 позволяет обходить процесс аутентификации, для эндпойнтов, начинающихся с /queue. Проблема затрагивала процедуру сравнения пути эндпойнта с закодированным URI, что обеспечивало обход процесса аутентификации. В исправлении URI запроса перед его сравнением декодируется при помощи функции decodeURI.

🐛 CVE-2023-44390, выявленной в .NET библиотеке html-санитизации HtmlSanitizer до версии 8.0.723, позволяет обходить процесс санитизации и добавлять вредоносные html-объекты. В библиотеке данные, находящиеся в комментариях или в текстовых полях html документа, обрабатывались без экранирования. Для этих случае в патче была добавлена замена символов "<" и ">" на их html-мнемоники ("<" и ">").

🐛 CVE-2023-26153 в библиотеке для работы с геолокацией geokit-rails до версии 2.5.0 позволяет неаутентифицированному атакующему выполнять произвольные команды с помощью эксплуатации небезопасной YAML десериализации. Проблема связана с попаданием значения "geo_location" куки в уязвимую функцию YAML.load. Для исправления уязвимости функцию YAML.load заменили на безопасную функцию JSON.parse.

📌 Наиболее интересные публикации по аппсеку за прошедшую неделю

📰 Очередной обзор security-заголовков HTTP. Краткий и неполный, но для того, чтобы погрузиться в тему — вполне. Btw, более детально изучить упомянутый в обзоре HSTS можно в ещё одной свежей статье от Sucuri.

📰 Достаточно подробный разбор внутреннего устройства TLS пополнился продолжением.

📰 Небольшой, но годный гайд по генерации криптографически-устойчивых последовательностей случайных чисел.

📰 Описание техник злонамеренного использования GhostScript.

📰 Детальный разбор нашумевшей на прошлой неделе атаки "HTTP/2 Rapid Reset".

📰 Очередной райтап от AP Security по прохождению заданий на виртуалках TryHackMe (на этот раз, "Enterprise").

📰 И, в завершение, два авторских райтапа с разбором интересных bugbounty-уязвимостей: в CloudTips/CloudPayments, и в FortiNAC.

🔍 Наиболее интересные уязвимости прошедшей недели

🐛 CVE-2023-44487 в протоколе HTTP/2. Проблема связана с дизайном протокола HTTP/2 и касается возможности одностороннего сброса потока отправкой RST_STREAM, что в итоге позволяет создавать неограниченное количество новых потоков для сервера и приводит к отказу в обслуживании. Многие разработчики библиотек, реализующих протокол HTTP/2, уже добавляют механизмы контроля количества новых потоков (клон Nginx tengine, jetty, envoy, пакет go x/net/http2 и т.д). Ссылку на подробный разбор ищите в нашем предыдущем новостном посте.

🐛 CVE-2023-36820 в платформе Micronaut Security до версий 3.1.2, 3.2.4, 3.3.2, 3.4.3, 3.5.3, 3.6.6, 3.7.4, 3.8.4, 3.9.6, 3.10.2 и 3.11.1 приводит к обходу процесса валидации ID токена. Проблема заключается в отсутствии проверки значения aud на соответствие идентификатору клиента при условии, что в настройках значение micronaut.security.authentication выставлено в idtoken, а также значение iss совпадает со значением текущего эмитента приложения. В патче скорректирована логика валидации токена через использование логического оператора "и" ( && ) вместо "или" ( || ).

🐛 CVE-2023-44393, выявленная в приложении Piwigo до версии 14.0.0beta4, приводит к возможности внедрения дополнительных DOM сущностей в состав HTML документа. Уязвимость заключается в отсутствии санитизации пользовательских данных ( $_GET['plugin_id'] ), попадающих в переменную $activate_url, которая участвует в формировании тела ответа. В исправлении был исключен канал воздействия путем удаления $_GET['plugin_id'] из формирования значения переменной $activate_url.

🐛 CVE-2023-41047 в веб-интерфейсе для 3D принтеров OctoPrint до версии 1.9.3 позволяет привилегированным пользователям выполнять произвольный код путем создания специально сформированных GCODE-скриптов. Уязвимость состоит в использовании небезопасного jinja2-окружения jinja2.sandbox.Environment при работе с шаблонами. Патч заменяет jinja2.sandbox.Environment на более безопасный вариант - jinja2.sandbox.SandboxedEnvironment, в котором при попытке исполнения небезопасного кода будет выдано исключение jinja2.sandbox.SecurityError.

🐛 CVE-2023-23930, найденная в платформе для обучения vantage6 до версии 4.0.0, заключается в использовании небезопасной реализации процесса десериализации с использованием библиотеки pickle, что может привести к исполнению произвольного кода. В исправлении уязвимая функция pickle.loads была заменена на безопасный вариант - json.loads.