🔍 Наиболее интересные уязвимости прошедшей недели

🐛 CVE-2023-5591, обнаруженная в системе мониторинга сети LibreNMS до версии 23.10.0, приводит к SQL-инъекции. Проблема заключается в использовании значения параметра address из POST-запроса в функции для формирования и исполнения SQL-запроса dbFetchRows. Для исправления уязвимости формирование SQL-запроса стало выполняться параметризированным способом.

🐛 CVE-2023-45158 в web-фреймворке web2py до версии 2.24.1 для модуля messageboxhandler и функции notifySendHandler обнаружена уязвимость OS Command injection. Уязвимость заключается в возможности попадания пользовательских данных в функцию логирования, внутри которой данные обрабатываются с использованием os.system. В патче была произведена замена os.system на subprocess.run и пользовательские данные включены в элемент массива для аргумента команды, что исключает выполнение команды ОС.

🐛 CVE-2023-43658, обнаруженная в плагине календаря для Discource dicourse-calendar, позволяет злоумышленникам внедрить произвольные html-сущности в состав ответа сервера, что приводит к XSS. Прямая запись пользовательских заголовков эвентов ( event_name ) в состав html-страницы, приводит к появлению данной проблемы. Патч добавляет функцию CGI.escape_html для конвертации недопустимых символов в их html-представления.

🐛 CVE-2023-5631 в почтовом web-клиенте Roundcube до версии 1.4.15, 1.5.x до 1.5.5 и 1.6.x до 1.6.4 может приводить к stored XSS в теле HTML сообщения электронной почты. Проблема находится в файле program/lib/Roundcube/rcube_washtml.php в функции wash_uri, некорректно обрабатывающей разделительные символы для типа контента в составе URI SVG изображения. В патче был введен механизм удаления разделительных символов из URI.

🐛 CVE-2023-20198 в веб UI компоненте Cisco IOS XE до версий 17.9.4a, 17.6.6a, 17.3.8a и 16.12.10a позволяет неаутентифицированному злоумышленнику создать аккаунт с максимальным уровнем привилегий. Часть уязвимости заключается в логике проверки IPv6 адреса в функции utils.isIpv6Address(ip), которая в ряде случаев используется для контроля данных, попадающих в состав cli-команд. В исправлении разработчики в механизме контроля IPv6 адреса скорректировали шаблон на ^([a-fA-F0-9:]+)$ и ввели дополнительные проверки на длину адреса и их значение.

🔍 Наиболее интересные уязвимости прошедшей недели

🐛CVE-2023-37909, обнаруженная в вики-платформе XWiki до версий 14.10.8 и 15.3-rc-1, может приводить к выполнению кода путем создания уникального объекта класса UIExtensionClass в соответствующем редакторе. Проблема заключается в попадании пользовательских данных в функции обработки VTL-шаблонов. В патче для пользовательских данных добавили функцию escapetool.xml(), которая заменяет символы &"<>'{ на их числовые коды (&"<>'{), что предотвращает добавление дополнительных VTL-сущностей в шаблон.

🐛CVE-2023-46136 в WSGI веб-фреймворке Werkzeug до версии 3.0.1 может приводить к отказу в обслуживании (DoS). Уязвимость локализована в обработке загружаемых файлов, при которой для файла, начинающегося с управляющих символов: возврата каретки (CR) или перевода строки (LF), следует большое количество данных без этих же управляющих символов, то поиск строки boundary выполняется в постоянно растущем буфере, что и приводит к неограниченному потреблению вычислительных ресурсов. Разработчики в исправлении добавили корректировку указателя на конец данных при отсутствии части boundary в составе принятых данных.

🐛CVE-2023-46747 в системе F5 BIG-IP до версий 17.1.0.3.0.75.4, 16.1.4.1.0.50.5, 15.1.10.2.0.44.2, 14.1.5.6.0.10.6 и 13.1.5.1.0.20.2 позволяет "подделывать" http-запросы к AJP серверу с помощью эксплуатации HTTP Request Smuggling. Уязвимость схожа с CVE-2022-26377, в которой нарушается логика проверки запроса при выставлении значения заголовка "Transfer-Encoding" в "chunked, chunked", что позволяет добавить "контрабандный" запрос к обычному, т.к. длина и контент запроса контролируются пользователем. Более подробный разбор можно посмотреть по ссылке.

🐛CVE-2023-5700 в продукте для безопасного доступа Netentsec NS-ASG до версии 6.3 включительно может приводить к SQL-инъекции. Данные из параметра "jsoncontent" POST-запроса без соответствующей проверки передаются в функцию db_query, что позволяет атакующему встроить SQL-инъекцию в тело запроса и выполнить его.

🐛CVE-2023-46119 в бэкенд-фреймворке Parse Server до версий 5.5.6 и 6.3.1 может приводить к DoS. Уязвимость заключается в том, что для переменной "extension" со значением undefined последующий вызов метода split() вызовет исключение, приводящее к аварийному завершению приложения. Исправление связано с использованием оператора опциональной последовательности (?.) для формирования значения "extension", что позволяет обрабатывать значение undefined без выдачи исключения.