EH.SU

С помощью Sandbox-программ можно было публиковать положительные отзывы о себе или других исследователях: сервер принимал произвольные hacker_username и report_id без проверки прав, что позволяло массово накручивать репутацию на HackerOne. Уязвимость относится к логической / IDOR-категории и была закрыта после патча и ретеста.

В приватных лидербордах WakaTime показывался email участника, даже если он был скрыт в настройках профиля. Любой пользователь мог заманить жертву в лидерборд и собрать адреса, что нарушало конфиденциальность и создавало риск фишинга.

Недостаточная проверка SCIM-атрибутов в HackerOne позволяла менять email существующих пользователей, сохраняя их username, после чего атакующий сбрасывал пароль и полностью захватывал учётку. Достаточно было синхронизировать жертву через Okta, подменить поле email на адрес из верифицированного домена и инициировать reset — уведомление старому владельцу не отправлялось.

Через MathML-mglyph можно обойти санитайзер Trix Editor и внедрить сохраняемый XSS, который срабатывает при каждом просмотре сообщения в Basecamp. На десктоп-клиенте XSS даёт возможность загрузить V8-эксплойт и поднять полноценный RCE благодаря устаревшему Electron.

В Windows-версии Mozilla VPN dev-команда live_reload писала скачанный по HTTP файл по пути, указанному атакующим, без проверки на «..». Это позволяло перезаписывать любые файлы и добиваться RCE, например, droppʼом .bat в автозапуск. Проблема закрыта в версии 2.26, баунти – $6000.

Критическая 0-click уязвимость в Remitly: захват аккаунта через сброс пароля.

Attacker with a verified domain exploited a flaw in SCIM provisioning to change a user's email and reset their password without notification, taking over the account.

Public GitHub repos на triage-аккаунтах HackerOne содержали PoC-ы и эксплойты из закрытых отчётов, что позволяло любому увидеть детали ещё не раскрытых багов и секреты CI/CD клиентов. Причина – тестовые репозитории оставались публичными после воспроизведения, профили имели предсказуемые имена и не были приватны.

Поддомен firefox.com ссылался CNAME-ом на удалённый хост. Злоумышленник мог зарегистрировать этот хост на той же PaaS и полностью контролировать трафик, проводя фишинг, malware-кампании или cookie-DoS. Причина — dangling CNAME, уязвимость устранена после отчёта, баунти 500 USD.

WH-1000XM5 автоматически принимает соединение от spoof-устройства, обходя проверку Link Key при повторном коннекте. Уязвимость позволяет перехватывать аудиоканал, проводить MitM и DoS-атаки даже без перевода наушников в режим спаривания.

Владелец группы мог скрыто проставить флаг trusted для группового OAuth-приложения и, используя CSRF, без участия жертвы получить authorization code, обменять его на API-токен и действовать от имени любого пользователя GitLab. Ошибка была в отсутствии серверной проверки поля trusted и валидации redirect_uri, что позволило полный захват аккаунта по scope=api.

Уязвимость типа "открытый редирект" (Open Redirect) на основном домене аутентификации auth.hostinger.com позволяла перенаправить пользователя на доверенный, но уязвимый поддомен. Цепочка из редиректа и XSS-инъекции на этом поддомене приводила к краже токена аутентификации из URL и полному захвату аккаунта жертвы.

В приложении обнаружена уязвимость типа IDOR в операции `AddTagToAssets`, позволяющая злоумышленнику получить доступ к пользовательским тегам других пользователей путем манипуляции идентификаторами тегов. Это может привести к утечке конфиденциальной информации и нарушению приватности, особенно если теги содержат чувствительные данные или описывают внутренние процессы организации. Рекомендуется внедрить проверку прав доступа и использовать непрямые ссылки для предотвращения подобных уязвимостей.

Кэш-серверы CDN Shopify не различали «/» и «\», тогда как origin-сервер возвращал 404, что позволяло отравить кэш и выдавать 404 вместо любых статических файлов. Злоумышленник мог вызвать частичный DoS для тысяч магазинов и сервисов Shopify, за что исследователь получил $3800.

Обнаружена уязвимость валидации входных данных на сайте Lichess в функции загрузки изображений, позволяющая вводить символы двоеточия `:` в параметр `rel`. Это приводит к нарушению ожидаемого формата `ImageId` и может вызвать ошибки в других частях приложения, которые зависят от этого формата. Рекомендуется внедрить фильтрацию недопустимых символов в параметре `rel`, чтобы предотвратить потенциальные проблемы с обработкой данных.

Исследователь выявил уязвимость на субдомене marketing.hostinger.com, позволяющую злоумышленникам выполнить однокликовый захват аккаунта Hostinger через кражу токена авторизации. Используя белый список перенаправлений, атакующий может перехватить токен пользователя и получить полный доступ к его учетной записи после одного клика по специально разработанной ссылке. Данная уязвимость представляет серьезный риск для всех пользователей Hostinger и требует немедленного устранения.

Обнаружена уязвимость на сайте https://crm.na1.insightly.com, связанна с параметром `returnUrl`, который позволяет злоумышленникам перенаправлять пользователей на фишинговые сайты после успешной аутентификации. Манипулируя этим параметром, можно создать ссылку, которая перенаправит пользователя на вредоносный ресурс, собирающий учетные данные. Это создает серьезный риск компрометации учетных записей пользователей и требует незамедлительного исправления.

В библиотеке libcurl обнаружена уязвимость (CVE-2025-5399), при которой функция `curl_ws_send()` может войти в бесконечный цикл, если злоумышленный сервер отправит специально сформированное сообщение PING во время построения фрейма с использованием `CURLWS_OFFSET`. Это приводит к зависанию приложения и потреблению 100% ресурсов процессора. Пользователям рекомендуется обновить libcurl до последней версии для устранения этой проблемы.

Была обнаружена уязвимость типа Server-Side Request Forgery (SSRF) в функционале экспорта игры на сайте Lichess. Посредством манипуляции параметром `players` атакующий может заставить сервер Lichess отправлять HTTP-запросы на произвольные URL, что позволяет потенциально получить доступ к внутренним ресурсам. Эта уязвимость присутствует на общедоступных конечных точках, не требующих аутентификации, и представляет серьезный риск безопасности.

В API учетных записей Firefox обнаружена критическая уязвимость, позволяющая аутентифицированному атакующему удалить аккаунт любого пользователя без проверки принадлежности сессии. Уязвимость позволяет отправить запрос на удаление с данными жертвы, и сервер не проверяет, что сессия соответствует удаляемому аккаунту. Если жертва использует вход через SSO без пароля, атакующий может удалить ее аккаунт, зная только электронную почту.

Параметр grace_blocks в RPC-методе get_fee_estimate позволял задать число до 2^64-1, из-за чего в ядре Monero выполнялся практически бесконечный цикл и процесс забивал CPU, приводя к отказу обслуживания. Проверка значения перенесена выше по коду, баг исправлен в версии 0.18.3.2, исследователь получил 5 XMR.

Отчет сообщает, что публичные GitHub-репозитории триаж-команды HackerOne содержат приватную информацию о уязвимостях из приватных программ баг-баунти. Исследователь обнаружил, что в этих репозиториях находятся эксплойты и PoC для уязвимостей клиентов HackerOne, что может привести к утечке конфиденциальной информации и возможной эксплуатации уязвимостей. Рекомендуется сделать репозитории и профили триаж-команды приватными и принять меры для предотвращения подобных утечек в будущем.

Исследователь под псевдонимом **kauenavarro** обнаружил, что при доступе к `https://fax.wavecell.com/metrics` раскрываются внутренние метрики приложения, что может предоставить злоумышленникам информацию для потенциальных атак. Команда 8x8 Bounty подтвердила проблему, развернула исправление в рабочей среде и отметила отчет как решенный. Раскрытие таких данных может облегчить проведение целенаправленных атак и эксплуатацию других уязвимостей системы.

В Apache Airflow Fab Provider обнаружена уязвимость (CVE-2024-45033), при которой при смене пароля через командную строку `airflow cli` активные сессии пользователя не завершаются. Это позволяет злоумышленникам, обладающим сессионными идентификаторами, сохранять доступ к системе даже после смены пароля. Уязвимость устранена в версии Apache Airflow Fab Provider 1.5.2, и рекомендуется обновить приложение до этой или более поздней версии.