🔍 Наиболее интересные уязвимости

🐛 CVE-2024-21663, обнаруженная в боте DiscordRecon до версии 0.0.8, приводит к OS Command Injection. Проблема заключалась в попадании недоверенных данных в функцию subprocess.Popen() в состав аргументов команды "prips {argument}". В исправлении была добавлена функция санитизации - CommandInjection.sanitizeInput, которая использует функцию экранирования shlex.quote().

🐛 CVE-2023-51700, выявленная в WordPress плагине Unofficial Mobile BankID Integration до версии 1.0.1. Уязвимость обусловлена использованием функции unserialize() над недоверенными данными, что может приводить к Deserialization of Untrusted Data. В патче исключили использование функций сериализации/десериализации и перешли на хранение данных в формате json.

🐛 CVE-2023-52086, обнаруженная в PHP backend for resumable.js до версии 0.1.4, приводит к Arbitrary File Upload. Для исправления добавили функцию безопасного формирования имени файла createSafeName(string $name), которая использует пакет OndrejVrto\FilenameSanitize\FilenameSanitize.

🐛 CVE-2023-51665, найденная в приложении Audiobookshelf до версии 2.7.0, приводит к уязвимости Server-Side Request Forgery (SSRF). Проблема заключается в формировании url на основе пользовательских данных, что позволяло конструировать неразрешенные пути . В патче разработчики реализовали формирование пути с использованием класса URL и дополнительным контролем на принадлежность к разрешенной группе.

🐛 CVE-2023-6976, в платформе разработки Machine Learning до версии 2.9.2, приводит к Unrestricted File Upload. Уязвимость обусловлена в обходе функции валидации и использовании пути, который поступает из пользовательских данных. В исправлении была изменена логика формирования пути к файлу, путем приведения пути к существующему (local_file_uri_to_path) и проверки на выход за границы каталога.

🔍 Наиболее интересные уязвимости

🐛 CVE-2024-21647, найденная в сервере Puma до версии 5.6.8 и 6.4.2, приводит к HTTP Request Smuggling. Опасное поведение возникает в процессе обработки частей запроса для механизма chunked transfer encoding. Для исправления разработчики ограничили размер chunk header и chunk extensions. Без этого ограничения атакующий мог неограниченно потреблять ресурсы ЦП и сети.

🐛 CVE-2024-22199, выявленная в шаблонизаторе для Fiber до версии 3.1.9, приводит к Cross-Site Scripting (XSS). Уязвимость обусловлена возможностью внедрения пользовательских данных при рендере шаблона без экранирования. В исправлении было внедрена настройка автоматического экранирования (autoescape=true) всех данных поступающих в шаблон.

🐛 CVE-2023-45139, обнаруженная в Python библиотеке fontTools до версии 4.28.2 (включительно) и 4.43.0, приводит к XML External Entity Injection (XXE). Проблема заключалась в том, что атакующий может использовать External Entity в файле шрифта, содержащего SVG таблицу. В исправлении в функции subset_glyphs(), которая обрабатывает данные в SVG формате, в вызов метода etree.XMLParser() добавили параметр resolve_entities=False, запрещающий обрабатывать External Entity.

🐛 CVE-2024-22196, обнаруженная в Nginx UI до версии v2.0.0.beta.9, приводит к SQL Injection. Проблема находится в обработчике OrderAndPaginate() и заключается во внедрении данных из запроса (параметры order и sort_by) без санитизации в SQL-запрос . В исправлении была реализована проверка параметров запроса order и sort_by на принадлежность соответствующим “белым” спискам.

🐛 CVE-2023-7028, найденная в GitLab CE/EE версий от 16.1 до 16.1.6, от 16.2 до 16.2.9, от 16.3 до 16.3.7, от 16.4 до 16.4.5, от 16.5 до 16.5.6, от 16.6 до 16.6.4 и от 16.7 до 16.7.2, приводит к Improper Access Control, в результате чего появляется возможность отправки письма о сбросе пароля на электронной адрес непроверенной почты. Описание бюллетеня безопасности можно найти по ссылке.