📌 Наиболее интересные публикации по аппсеку за прошедшую неделю

📰 Самые громкие атаки и наиболее заметные утечки от 🟥

📰 Очередная часть цикла статей «Выдающиеся программисты 21-го века», посвящённая Ральфу Мерклу, чьё имя известно куда меньшему количеству людей, по сравнению с его работами.

📰 Разбор набирающей обороты волны атак на CVE-2023-22518 (недостаточная авторизация в Atlassian Confluence). Здесь также стоит обратить внимание на разбор «соседней» уязвимости в том же продукте.

📰 Обзор механизмов и проблем безопасности редактора VSCode «от создателей SonarQube».

📰 Внушительная статья от Брюса Шнайера (на правах соавтора) о принципе «развязки» (decoupling) в современных системах.

📰 Вторая часть райтапа от участников Pwn2Own об атаках на Netgear RAX30.

📰 Исследование от Aquasec о методах переобнаружения уязвимостей в opensource-проектах на ранних этапах их существования.

📰 Разбор CVE-2023-32782 (OS Commanding в PRTG и Dicom C-ECHO sensor).

📰 Вводная статья об управлении секретами в рамках CI/CD.

📰 Обзор recon-фреймворка OWASP Nettacker.

🔍 Наиболее интересные уязвимости прошедшей недели

🐛 CVE-2023-46730, обнаруженная в CRM Group-Office до версий 6.8.15, 6.7.54 и 6.6.177, может приводить к чтению локальных файлов и SSRF. Уязвимость заключается в возможности атакующим задавать путь к файлу через схему "file://" при загрузке файлов. Это обеспечивается использованием функции "$httpClient->download", которая реализует загрузку файлов с удаленных источников. В патче была исключена функциональность загрузки файлов из сторонних ресурсов.

🐛 CVE-2023-43791 в приложении Label Studio до версии 1.8.2 может использоваться для повышения привилегий. Уязвимость заключается в использовании захардкоженного секрета "SECRET_KEY", участвующего в формировании и валидации пользовательских сессий. Атакующий, зная данный секрет и хеш пользовательского пароля, получает возможность формировать легитимную сессионную куку. В исправлении разработчики добавили функцию "generate_key_if_missing", которая обеспечивает контроль наличия секрета при старте приложения, а при отсутствии его генерацию, используя библиотечную функцию Django "django.core.management.utils.get_random_secret_key".

🐛 CVE-2023-46734, обнаруженная в PHP-фреймворке Symfony до версий 4.4.51, 5.4.31 и 6.3.8 может приводить к XSS. Появлению уязвимости способствовало отсутствие санитизации пользовательских данных в обработчиках фильтров: "abbr_class", "abbr_method", "format_args", "format_args_as_text", "format_file" и "format_file_from_text" темплейт-движка Twig в связке с опцией "is_safe=html". В первом и втором патчах были добавлены функции "htmlspecialchars" с флагами "ENT_COMPAT" и "ENT_SUBSTITUTE", которые преобразуют символы '&"<> в их html-мнемоники ("&'<>).

🐛 CVE-2023-46722 в ORM библиотеке Piccolo до версии 1.1.1 может приводить к SQL инъекции. Уязвимость заключается в возможности изменения SQL-запроса через значение имени точки сохранения при формировании транзакций с SQL-оператором SAVEPOINT. В исправлении была добавлена валидирующая функция "validate_savepoint_name", в которой проверяется наличие символов из значения имени в "белом списке" ( string.ascii_letters + string.digits + "-" + "_" ).

🐛 CVE-2023-46242 обнаруженная в вики-платформе XWiki до версий 14.10.7 и 15.2RC1 может приводить к исполнению Groovy-макросов через эксплуатацию CSRF на пользовательской стороне. Уязвимости подвержен эндпойнт "/xwiki/bin/edit/Main/" для пользователей с правами на разработку и для которого отсутствует механизма защиты от CSRF атак. В патче была добавлена проверка с использованием встроенного в XWiki механизма формирования и валидации CSRF токенов (класс "org.xwiki.csrf.CSRFToken").