🔍 Наиболее интересные уязвимости прошедшей недели

🐛CVE-2023-37909, обнаруженная в вики-платформе XWiki до версий 14.10.8 и 15.3-rc-1, может приводить к выполнению кода путем создания уникального объекта класса UIExtensionClass в соответствующем редакторе. Проблема заключается в попадании пользовательских данных в функции обработки VTL-шаблонов. В патче для пользовательских данных добавили функцию escapetool.xml(), которая заменяет символы &"<>'{ на их числовые коды (&"<>'{), что предотвращает добавление дополнительных VTL-сущностей в шаблон.

🐛CVE-2023-46136 в WSGI веб-фреймворке Werkzeug до версии 3.0.1 может приводить к отказу в обслуживании (DoS). Уязвимость локализована в обработке загружаемых файлов, при которой для файла, начинающегося с управляющих символов: возврата каретки (CR) или перевода строки (LF), следует большое количество данных без этих же управляющих символов, то поиск строки boundary выполняется в постоянно растущем буфере, что и приводит к неограниченному потреблению вычислительных ресурсов. Разработчики в исправлении добавили корректировку указателя на конец данных при отсутствии части boundary в составе принятых данных.

🐛CVE-2023-46747 в системе F5 BIG-IP до версий 17.1.0.3.0.75.4, 16.1.4.1.0.50.5, 15.1.10.2.0.44.2, 14.1.5.6.0.10.6 и 13.1.5.1.0.20.2 позволяет "подделывать" http-запросы к AJP серверу с помощью эксплуатации HTTP Request Smuggling. Уязвимость схожа с CVE-2022-26377, в которой нарушается логика проверки запроса при выставлении значения заголовка "Transfer-Encoding" в "chunked, chunked", что позволяет добавить "контрабандный" запрос к обычному, т.к. длина и контент запроса контролируются пользователем. Более подробный разбор можно посмотреть по ссылке.

🐛CVE-2023-5700 в продукте для безопасного доступа Netentsec NS-ASG до версии 6.3 включительно может приводить к SQL-инъекции. Данные из параметра "jsoncontent" POST-запроса без соответствующей проверки передаются в функцию db_query, что позволяет атакующему встроить SQL-инъекцию в тело запроса и выполнить его.

🐛CVE-2023-46119 в бэкенд-фреймворке Parse Server до версий 5.5.6 и 6.3.1 может приводить к DoS. Уязвимость заключается в том, что для переменной "extension" со значением undefined последующий вызов метода split() вызовет исключение, приводящее к аварийному завершению приложения. Исправление связано с использованием оператора опциональной последовательности (?.) для формирования значения "extension", что позволяет обрабатывать значение undefined без выдачи исключения.

📌 Наиболее интересные публикации по аппсеку за прошедшую неделю

📰 Небольшой туториал по использованию AFL++, на примере фаззинга Xpdf.

📰 Обзор изменений зарелизившейся CVSS v4 и отличий от предыдущей версии.

📰 Обзор изменений новой версии EMBA — тулкита для исследования прошивок устройств.

📰 Первая часть туториала по внутреннему устройству динамической памяти и связанным с ней атакам.

📰 Пока нейросети переживают хайп, квантовые вычисления ждут своего часа с достаточным для серьёзных задач количеством кубитов. А как насчёт квантовых нейросетей? 🤯

📰 Туториал по реверсингу мобильных приложений на cocos2dx.

📰 Седьмая часть цикла статей о технологиях оптимизации, применяемых в компиляторах.

📰 Вторая часть статьи об особенностях реализации криптографических примитивов в .NET 7.

🔍 Наиболее интересные уязвимости прошедшей недели

🐛CVE-2023-46502, обнаруженная в CRM openCRX до версии 5.3.0, может приводить к чтению локальных файлов и SSRF. Уязвимость заключается в использовании инстанса "javax.xml.parsers.DocumentBuilderFactory" без выставленных флагов, предотвращающих возможность использовать XML external entity. В патче были добавлены настройки безопасности:
- запрет объявления DOCTYPE "http://apache.org/xml/features/disallow-doctype-decl";
- запрет на включение общих внешних сущностей "http://xml.org/sax/features/external-general-entities";
- запрет на включение объектов внешних параметров или части внешнего DTD "http://xml.org/sax/features/external-parameter-entities";
- полное игнорирование внешнего DTD "http://apache.org/xml/features/nonvalidating/load-external-dtd".

🐛CVE-2023-46725 в приложении FoodCoopShop до версии 3.6.1 может приводить к SSRF. Уязвимость заключается в формирования http-запросов на внешние ресурсы без контроля значения на принадлежность к "белому" списку. В исправлении введена дополнительная проверка на содержании доменного имени http-запроса в "белом" списке доменов.

🐛CVE-2023-45827, обнаруженная в TypeScript библиотеке dot-diver до версии 1.0.2, может приводить к Prototype Pollution. Отсутствие проверок на свойство "proto" в функции "setByPath" приводит к появлению уязвимости. Патч добавил проверку ("Object.prototype.hasOwnProperty") на существование свойства в объекте до его присвоения.

🐛CVE-2023-46722 в UI-бэкенде "Pimcore Admin Classic Bundle" до версии 1.2.0 может приводить к XSS. Уязвимость заключается в возможности исполнения javanoscript из состава pdf документа на стороне клиента. В исправлениях (commit и PR) добавили проверку на содержание js контента в pdf и блокирование отображения pdf-документа с js-кодом внутри.

🐛CVE-2023-22515, CVE-2023-22518 в Confluence Data Center and Server являются уязвимостями с высоким уровнем опасности, которые позволяют сбросить настройки Confluence и создать аккаунт неавторизованного администратора. Обладая полными правами доступа нарушитель способен выполнить любые действия. По заявлению разработчиков версии с исправлением уязвимостей являются 7.19.16, 8.3.4, 8.4.4, 8.5.3, 8.6.1. Основными рекомендациями являются обновление версий до неуязвимых, отключение уязвимого Confluence от внешнего доступа. Как временная мера приводится рекомендация блокирования с уже известными векторами атак следующих точек доступа :
- /json/setup-restore.action;
- /json/setup-restore-local.action;
- /json/setup-restore-progress.action.

🐛 В продукте Bitrix24 до версии 22.0.300 были раскрыты множественные уязвимости позволяющие:
- RCE на стороне сервера (CVE-2023-1713, CVE-2023-1714);
- XSS на стороне клиента (CVE-2023-1715, CVE-2023-1716, CVE-2023-1717, CVE-2023-1720);
- DoS на стороне сервера (CVE-2023-1718);
- внешний доступ к переменным окружения (CVE-2023-1719).
Уязвимости имеют высокий уровень опасности, что требует срочного обновления инстансов Bitrix24. Подробные разборы приведены по следующим ссылкам - CVE-2023-1713, CVE-2023-1714, CVE-2023-1715 & CVE-2023-1716, CVE-2023-1717, CVE-2023-1718, CVE-2023-1719 и CVE-2023-1720.