🔍 Наиболее интересные уязвимости прошедшей недели

🐛 CVE-2023-48292, обнаруженная в приложении XWiki Admin Tools до версии 4.5.1, может приводить к исполнению произвольного кода. Уязвимость заключается возможности запуска системных команд на эндпойнте /xwiki/bin/view/Admin/RunShellCommand без проверки CSRF-токена. Атакующий может сформировать ссылку, для которой будет исполнена произвольная команда с административными правами (например, /xwiki/bin/view/Admin/RunShellCommand?command=touch%20/tmp/pwned). Патч добавляет функциональность генерации/валидации CSRF-токенов с помощью функции "services.csrf.isTokenValid".

🐛 CVE-2023-48712 в ownCloud до версии 10.13.1 может приводить к обходу процесса аутентификации. Уязвимость заключается в возможности использования пустой строки для значения "signing-key" в качестве соли для функции формирования ключа "hash_pbkdf2". В исправлении добавили проверку заполненности значения переменной "$signingKey" в функции "verifySignature".

🐛 CVE-2023-48699 в библиотеке fastbots до версии 0.1.5 может приводить к исполнению произвольного Python кода. Уязвимость заключается в возможности исполнения через функцию "eval" данных, поступающих из файла "locators.ini". Атакующий может подменить файл "locators.ini" с измененной директивой "locator_name", включающей в себя произвольный Python код. В исправлении было исключено попадание пользовательских данных в функцию "eval".

🐛 CVE-2023-6293, обнаруженная в библиотеке sequelize-typenoscript до версий 2.1.6, может приводить к Prototype Pollution. Уязвимость связана с возможностью в функции "deepAssign" резолвинга атрибута объекта как прототипа объекта . В патче была добавлена проверка по "черному" списку имен атрибутов (['proto', 'constructor', 'prototype']).

🐛 CVE-2023-48228, обнаруженная в платформе для менеджмента Pimcore до версии 11.1.1, может приводить к обходу процесса авторизации. К уязвимости приводила ошибка логики - проверка параметра PKCE "code_verifier" в процессе валидации токена проходила даже при его отсутствии, что делает "Proof Key for Code Exchange" неэффективным. В патче была добавлена проверка на существование "code_verifier" и при его отсутствии срабатывает исключение "TokenError".

🔍 Наиболее интересные уязвимости прошедшей недели

🐛 CVE-2023-6461 описывает уязвимость XSS (Cross-Site Scripting) для онлайн редактора изображений minipaint до версии 4.14.0. Уязвимость позволяла вставлять и выполнять произвольный JavaScript-код на стороне клиента, когда пользователь взаимодействовал с определёнными элементами интерфейса. В патче было реализовано экранирование пользовательских данных с использованием функции Helper.escapeHtml, которая выполняет преобразование символов &, <, >, ", ' в их html-мнемоники (&<>"&#039).

🐛 CVE-2023-3368, обнаруженная в системе управления обучением Chamilo LMS до версии 1.11.20, позволяет выполнить произвольный код (RCE). Уязвимость связана с возможностью исполнения кода в скрипте additional_webservices.php и является обходом предыдущей уязвимости CVE-2023-34960. Исправление включает использование функции escapeshellarg для корректной обработки параметров и проверку на наличие подстроки `..` в имени файла, чтобы предотвратить возможные попытки выхода за пределы директории.

🐛 CVE-2023-49277 приводит к Cross-Site Scripting в веб-приложении dpaste до версии 3.8 , которое используется для обмена текстовыми фрагментами кода. Уязвимость связана с обработкой ошибок и формированием ответа, содержащего пользовательские данные. В исправлении разработчики добавили использование функции escape из фреймворка Django для экранирования входных данных, что предотвращает выполнение вредоносного кода.

🐛 CVE-2023-35985, обнаруженная в Foxit Reader до версии 12.1.3.15356, позволяет создавать произвольный вредоносный файл с возможностью его дальнейшего исполнения. Уязвимость возможна в результате использования функции API JavaScript exportDataObject. Более детальное разбор приведен по ссылке.

🐛 CVE-2023-49276 связана с уязвимостью в Uptime Kuma до версии 1.23.7 - инструмент для мониторинга, который позволяет интегрировать Google Analytics. Проблема заключалась в том, что идентификатор tagID, из состава недоверенных данных, участвовал в формировании ответа для пользователя, что приводило к XSS. Разработчики исправили уязвимость через экранирование tagID в контексте HTML-атрибута, используя функцию html-escaper.