🔍 Наиболее интересные уязвимости прошедшей недели

🐛CVE-2023-46502, обнаруженная в CRM openCRX до версии 5.3.0, может приводить к чтению локальных файлов и SSRF. Уязвимость заключается в использовании инстанса "javax.xml.parsers.DocumentBuilderFactory" без выставленных флагов, предотвращающих возможность использовать XML external entity. В патче были добавлены настройки безопасности:
- запрет объявления DOCTYPE "http://apache.org/xml/features/disallow-doctype-decl";
- запрет на включение общих внешних сущностей "http://xml.org/sax/features/external-general-entities";
- запрет на включение объектов внешних параметров или части внешнего DTD "http://xml.org/sax/features/external-parameter-entities";
- полное игнорирование внешнего DTD "http://apache.org/xml/features/nonvalidating/load-external-dtd".

🐛CVE-2023-46725 в приложении FoodCoopShop до версии 3.6.1 может приводить к SSRF. Уязвимость заключается в формирования http-запросов на внешние ресурсы без контроля значения на принадлежность к "белому" списку. В исправлении введена дополнительная проверка на содержании доменного имени http-запроса в "белом" списке доменов.

🐛CVE-2023-45827, обнаруженная в TypeScript библиотеке dot-diver до версии 1.0.2, может приводить к Prototype Pollution. Отсутствие проверок на свойство "proto" в функции "setByPath" приводит к появлению уязвимости. Патч добавил проверку ("Object.prototype.hasOwnProperty") на существование свойства в объекте до его присвоения.

🐛CVE-2023-46722 в UI-бэкенде "Pimcore Admin Classic Bundle" до версии 1.2.0 может приводить к XSS. Уязвимость заключается в возможности исполнения javanoscript из состава pdf документа на стороне клиента. В исправлениях (commit и PR) добавили проверку на содержание js контента в pdf и блокирование отображения pdf-документа с js-кодом внутри.

🐛CVE-2023-22515, CVE-2023-22518 в Confluence Data Center and Server являются уязвимостями с высоким уровнем опасности, которые позволяют сбросить настройки Confluence и создать аккаунт неавторизованного администратора. Обладая полными правами доступа нарушитель способен выполнить любые действия. По заявлению разработчиков версии с исправлением уязвимостей являются 7.19.16, 8.3.4, 8.4.4, 8.5.3, 8.6.1. Основными рекомендациями являются обновление версий до неуязвимых, отключение уязвимого Confluence от внешнего доступа. Как временная мера приводится рекомендация блокирования с уже известными векторами атак следующих точек доступа :
- /json/setup-restore.action;
- /json/setup-restore-local.action;
- /json/setup-restore-progress.action.

🐛 В продукте Bitrix24 до версии 22.0.300 были раскрыты множественные уязвимости позволяющие:
- RCE на стороне сервера (CVE-2023-1713, CVE-2023-1714);
- XSS на стороне клиента (CVE-2023-1715, CVE-2023-1716, CVE-2023-1717, CVE-2023-1720);
- DoS на стороне сервера (CVE-2023-1718);
- внешний доступ к переменным окружения (CVE-2023-1719).
Уязвимости имеют высокий уровень опасности, что требует срочного обновления инстансов Bitrix24. Подробные разборы приведены по следующим ссылкам - CVE-2023-1713, CVE-2023-1714, CVE-2023-1715 & CVE-2023-1716, CVE-2023-1717, CVE-2023-1718, CVE-2023-1719 и CVE-2023-1720.

📌 Наиболее интересные публикации по аппсеку за прошедшую неделю

📰 Самые громкие атаки и наиболее заметные утечки от 🟥

📰 Очередная часть цикла статей «Выдающиеся программисты 21-го века», посвящённая Ральфу Мерклу, чьё имя известно куда меньшему количеству людей, по сравнению с его работами.

📰 Разбор набирающей обороты волны атак на CVE-2023-22518 (недостаточная авторизация в Atlassian Confluence). Здесь также стоит обратить внимание на разбор «соседней» уязвимости в том же продукте.

📰 Обзор механизмов и проблем безопасности редактора VSCode «от создателей SonarQube».

📰 Внушительная статья от Брюса Шнайера (на правах соавтора) о принципе «развязки» (decoupling) в современных системах.

📰 Вторая часть райтапа от участников Pwn2Own об атаках на Netgear RAX30.

📰 Исследование от Aquasec о методах переобнаружения уязвимостей в opensource-проектах на ранних этапах их существования.

📰 Разбор CVE-2023-32782 (OS Commanding в PRTG и Dicom C-ECHO sensor).

📰 Вводная статья об управлении секретами в рамках CI/CD.

📰 Обзор recon-фреймворка OWASP Nettacker.

🔍 Наиболее интересные уязвимости прошедшей недели

🐛 CVE-2023-46730, обнаруженная в CRM Group-Office до версий 6.8.15, 6.7.54 и 6.6.177, может приводить к чтению локальных файлов и SSRF. Уязвимость заключается в возможности атакующим задавать путь к файлу через схему "file://" при загрузке файлов. Это обеспечивается использованием функции "$httpClient->download", которая реализует загрузку файлов с удаленных источников. В патче была исключена функциональность загрузки файлов из сторонних ресурсов.

🐛 CVE-2023-43791 в приложении Label Studio до версии 1.8.2 может использоваться для повышения привилегий. Уязвимость заключается в использовании захардкоженного секрета "SECRET_KEY", участвующего в формировании и валидации пользовательских сессий. Атакующий, зная данный секрет и хеш пользовательского пароля, получает возможность формировать легитимную сессионную куку. В исправлении разработчики добавили функцию "generate_key_if_missing", которая обеспечивает контроль наличия секрета при старте приложения, а при отсутствии его генерацию, используя библиотечную функцию Django "django.core.management.utils.get_random_secret_key".

🐛 CVE-2023-46734, обнаруженная в PHP-фреймворке Symfony до версий 4.4.51, 5.4.31 и 6.3.8 может приводить к XSS. Появлению уязвимости способствовало отсутствие санитизации пользовательских данных в обработчиках фильтров: "abbr_class", "abbr_method", "format_args", "format_args_as_text", "format_file" и "format_file_from_text" темплейт-движка Twig в связке с опцией "is_safe=html". В первом и втором патчах были добавлены функции "htmlspecialchars" с флагами "ENT_COMPAT" и "ENT_SUBSTITUTE", которые преобразуют символы '&"<> в их html-мнемоники ("&'<>).

🐛 CVE-2023-46722 в ORM библиотеке Piccolo до версии 1.1.1 может приводить к SQL инъекции. Уязвимость заключается в возможности изменения SQL-запроса через значение имени точки сохранения при формировании транзакций с SQL-оператором SAVEPOINT. В исправлении была добавлена валидирующая функция "validate_savepoint_name", в которой проверяется наличие символов из значения имени в "белом списке" ( string.ascii_letters + string.digits + "-" + "_" ).

🐛 CVE-2023-46242 обнаруженная в вики-платформе XWiki до версий 14.10.7 и 15.2RC1 может приводить к исполнению Groovy-макросов через эксплуатацию CSRF на пользовательской стороне. Уязвимости подвержен эндпойнт "/xwiki/bin/edit/Main/" для пользователей с правами на разработку и для которого отсутствует механизма защиты от CSRF атак. В патче была добавлена проверка с использованием встроенного в XWiki механизма формирования и валидации CSRF токенов (класс "org.xwiki.csrf.CSRFToken").