EH.SU

В curl обнаружена уязвимость CVE-2025-4947 при использовании wolfSSL с HTTP/3: при подключении по IP-адресу не выполняется проверка соответствия имени хоста (CN или SAN) в сертификате сервера, что позволяет злоумышленнику выполнить атаку «Человек посередине» и перехватывать данные. Причина проблемы в том, что в коде проверка сертификата осуществляется только при наличии SNI, и при подключении по IP-адресу эта проверка пропускается. Рекомендуется обновить curl до версии 8.14.0 или выше, где данная уязвимость исправлена.

В сервисе AWS Health обнаружена уязвимость, при которой тестовые конечные точки API не записываются в CloudTrail, что позволяет злоумышленникам незаметно перебрать права доступа без регистрации в журналах аудита. Это затрудняет обнаружение несанкционированной активности и повышает риск для безопасности инфраструктуры AWS. Проблема затрагивает обычные коммерческие аккаунты AWS и была решена.

В репорте описывается уязвимость в AWS Global Accelerator, где восемь непроизводственных API-эндпоинтов могут быть использованы с обычными IAM учетными данными без регистрации в CloudTrail. Это позволяет злоумышленникам незаметно перечислять разрешения, обходя механизмы обнаружения и логирования. AWS подтвердила проблему, внесла необходимые изменения в код и развернула исправление по всему миру.

Данный репорт содержит сообщение об отказе в помощи по запрошенному вопросу. Автор извиняется и указывает на невозможность оказания содействия. Причины отказа не уточняются.

В отчёте описана уязвимость в сервисе AWS Bedrock, связанная с наличием непроизводственных API-конечных точек, которые не логируют действия в CloudTrail при использовании стандартных IAM-учетных данных. Это позволяет злоумышленникам выполнять перечисление разрешений и другие операции незаметно для систем мониторинга безопасности, что повышает риск несанкционированного доступа. Рекомендуется обеспечить логирование всех конечных точек в CloudTrail и провести аудит сервисов на предмет подобных уязвимостей.

Отчет выявляет уязвимость в сервисе `bedrock-agent`, где 26 не-продакшен конечных точек не ведут журнал в CloudTrail. Это позволяет злоумышленникам с скомпрометированными AWS IAM учетными данными незаметно эмунировать разрешения без регистрации в системах мониторинга. AWS уведомлена об этой проблеме и предприняла необходимые меры для ее устранения.

В отчёте описывается уязвимость в службе Amazon Neptune Graph, связанная с неотслеживаемыми не-продукционными конечными точками, которые позволяют злоумышленникам скрытно перечислять IAM-разрешения без регистрации в CloudTrail. Это позволяет выполнять проверку разрешений без оставления следов в системах аудита, что затрудняет обнаружение несанкционированной активности. Уязвимость была устранена, и подчёркивается необходимость обеспечения регистрации всех API-вызовов в системах мониторинга и аудита для повышения безопасности.

В отчёте описывается уязвимость, при которой непроизводственные конечные точки сервиса Amazon Route 53 не логируются в CloudTrail, что позволяет злоумышленникам незаметно перечислять разрешения скомпрометированных AWS IAM учетных данных. Это препятствует обнаружению несанкционированного доступа и усложняет реагирование на инциденты, поскольку такая активность остаётся невидимой для систем мониторинга безопасности. AWS подтвердила проблему и применила необходимые изменения для её устранения во всех регионах.

В ходе исследования безопасности обнаружена критическая уязвимость на сайте компании Mars (https://mars.com), позволяющая злоумышленникам без авторизации добавлять новых пользователей и изменять персональные данные существующих пользователей. Проблема связана с неправильным контролем доступа: отсутствие аутентификации и авторизации на API для управления пользователями, а также использование предсказуемых 4-значных идентификаторов пользователей. Уязвимость оценена как критическая (CVSS 9.6) и требует немедленного устранения для предотвращения компрометации данных и репутационных рисков.

На сайте Royal Canin Greece (`*.myroyalcanin.gr`) обнаружена серьезная уязвимость, связанная с незащищенной конечной точкой API, позволяющей неавторизованным пользователям получать доступ к конфиденциальной информации клиентов без аутентификации. Данная уязвимость классифицируется как CWE-200 с оценкой серьезности CVSS 5.7 и может привести к нарушению конфиденциальности, финансовым потерям и репутационным рискам. Рекомендуется немедленно устранить проблему, внедрив аутентификацию и авторизацию для доступа к API и усилив меры безопасности.

В Apache Airflow версии 2.10.5 обнаружена уязвимость, позволяющая аутентифицированному пользователю выполнять SQL-инъекции через параметр `partition_clause` в операторах `SQLColumnCheckOperator` и `SQLTableCheckOperator`. Это может привести к удалённому выполнению кода и компрометации системы. Рекомендуется обновить Airflow до последней версии и проверить безопасность DAGs, использующих данные операторы.

В Apache Tomcat обнаружена уязвимость CVE-2024-50379, позволяющая удаленное выполнение кода (RCE) при определенных условиях. Если дефолтный сервлет разрешен на запись (параметр `readonly` установлен в `false`) на файловой системе, не чувствительной к регистру (например, Windows), злоумышленник может обойти проверки и загрузить файл, который будет выполнен как JSP. Рекомендуется установить параметр `readonly` в значение `true` и обновить Tomcat до последней версии для устранения уязвимости.

Уязвимость CVE-2025-23419 позволяет злоумышленнику обойти клиентскую аутентификацию TLS на серверах с несколькими виртуальными хостами, используя возобновление сессии через билеты TLS. Это происходит из-за неправильной изоляции билетов сессий между виртуальными хостами, что позволяет использовать билет, полученный от одного хоста, для доступа к другому. Рекомендуется обновить NGINX до последней версии и убедиться в правильной конфигурации изоляции билетов сессий TLS между виртуальными хостами.

В фреймворке Django обнаружена уязвимость в проверке IPv6-адресов, которая могла привести к атаке отказа в обслуживании (DoS) путем отправки чрезмерно длинного IPv6-адреса. Уязвимыми были функции `clean_ipv6_address`, `is_valid_ipv6_address` и поле формы `django.forms.GenericIPAddressField`. Разработчики Django устранили проблему, добавив ограничение на максимальную длину строки при проверке IPv6-адресов, установив `max_length` в 39 символов.

В экспериментальной реализации WASI (WebAssembly System Interface) в Node.js обнаружена уязвимость, позволяющая злоумышленнику обходить ограничения песочницы через функцию `path_symlink` и получать доступ к произвольным файлам на хост-машине. Это приводит к утечке конфиденциальной информации и потенциальному выполнению вредоносных действий вне изолированной среды. Команда Node.js признала проблему и предложила меры по ее устранению, включая обновление документации и разработку более безопасных механизмов файловой системы.

A Denial of Service (DoS) vulnerability has been identified in the Monero RPC service running on ports 18081 (or 28081, 38081), where an attacker can cause the service to become unavailable by exploiting a loop that can iterate up to the maximum value of `uint64_t`. By sending requests to the `get_fee_estimate` method with the `grace_blocks` parameter set to a very large value (up to `2^64-1`), especially when the node is running `hard_fork` version `15` or higher, the server can be overloaded and stop responding. This vulnerability affects all versions after commit `b030f207517f59a5122409398549a02ac23829ae`, including versions from v0.18.0.0 onwards.

В алгоритме динамической комиссии Monero выявлена уязвимость, при которой минимальная комиссия за байт может стать равной нулю, если медианный вес блока достигает определённого значения. Это позволяет злоумышленникам бесплатно отправлять бесконечное количество транзакций, перегружая сеть и вызывая неограниченный рост блокчейна. Для устранения проблемы предложено изменить функцию расчёта комиссии таким образом, чтобы минимальная комиссия за байт никогда не была нулевой.

IRCCloud автоматически встраивал Mastodon-ссылки и без проверки подставлял значение поля url в iframe, что позволяло вставить javascript:-URI и выполнить произвольный скрипт. Атакующий мог отправить одну ссылку в чат, получить session cookie жертв и захватить их аккаунты; уязвимость закрыта после доработки фильтра и проверки протокола через URL-API.

Уязвимость в Banzai-pipeline GitLab позволяла через Wiki вставить HTML, который после мутаций в браузере превращался в рабочий `<script>` — полноценный stored XSS с обходом CSP. Причина — неполная проверка `link_pattern` и повторная подстановка внутри атрибутов, которую Sanitize не фильтровал.

Эндпоинт /terms_acceptance_data.csv отвечал по-разному для sandbox и private программ HackerOne. Это позволяло любому залогиненному пользователю по коду ответа определить, существует ли приватная программа, тем самым нарушив конфиденциальность её самого факта существования. После репорта поведение унифицировали, баг выплачен на $500 (Low).

В **libcurl** обнаружена уязвимость, приводящая к утечке памяти при обработке HTTP-ответов с перенаправлением, содержащих заголовок `Location`. Память, выделенная под значения этого заголовка, не освобождается при повторном использовании объекта `Curl_easy`, что приводит к постепенному увеличению потребления памяти и потенциальному отказу в обслуживании из-за исчерпания ресурсов. Рекомендуется обновить libcurl с исправлением для корректного освобождения памяти при сбросе или повторном использовании запросов.

Отсутствие серверной проверки привилегий на эндпоинте /partner_leads/pos позволяло пользователю без разрешения «View referrals» создавать POS referrals в партнёрском портале Shopify. Уязвимость представляла собой Broken Access Control/Privilege Escalation и затрагивала целостность данных внутри организации.

Отсутствие верификации e-mail в процессе приглашения в Shopify Partners позволяло любому создать учётку на чужой адрес, перехватить приглашение и получить роль Owner, т.е. полное администрирование партнёрской организации. Баг исправлен, выплачено $3 500.

В публичных CI-логах Firefox Taskcluster засветился Bearer-токен Netlify, дававший полный доступ к команде «Mozilla IT Web SRE». С помощью ключа атакующий может деплоить функции и выполнять RCE, менять контент и биллинг сайта crash-pings.mozilla.org, что критично для безопасности и репутации Mozilla.