EH.SU

В публичных CI-логах Firefox Taskcluster засветился Bearer-токен Netlify, дававший полный доступ к команде «Mozilla IT Web SRE». С помощью ключа атакующий может деплоить функции и выполнять RCE, менять контент и биллинг сайта crash-pings.mozilla.org, что критично для безопасности и репутации Mozilla.

IDOR в GraphQL-эндпоинте GitLab позволял любому пользователю получать приватные модели и их версии из Model Registry по предсказуемым ID. Утечка затрагивала все редакции GitLab, устранена и вознаграждена $1 160.

Редактор Trix 2.1.1, используемый Basecamp, позволял внедрить и сохранить вредоносный скрипт через data-trix-attachment с поддельным contentType, что приводило к Stored XSS и выполнению JavaScript в браузерах всех пользователей. Проблема закрыта в версии 2.1.5, исследователь получил $1000 и был упомянут в CVE.

Редактор Trix 2.1.1, используемый Basecamp, позволял внедрить и сохранить вредоносный скрипт через data-trix-attachment с поддельным contentType, что приводило к Stored XSS и выполнению JavaScript в браузерах всех пользователей. Проблема закрыта в версии 2.1.5, исследователь получил $1000 и был упомянут в CVE.

Редактор Trix 2.1.1, используемый Basecamp, позволял внедрить и сохранить вредоносный скрипт через data-trix-attachment с поддельным contentType, что приводило к Stored XSS и выполнению JavaScript в браузерах всех пользователей. Проблема закрыта в версии 2.1.5, исследователь получил $1000 и был упомянут в CVE.

Уязвимость в ProxyPass конфигурации Trellix ESM даёт обход авторизации через последовательность ..;/ и доступ к Snowservice API, где параметр name в ManageNode позволяет выполнить произвольные команды с правами root. Комбинация Path Traversal и Command Injection приводит к неаутентифицированному RCE на SIEM-сервере.

Публичный эндпоинт /reports/:id.json на HackerOne отдавал полный объект пользователя, если в отчёте присутствовал summary. Через него утекали email, TOTP-секрет, резервные коды, GraphQL-токен и другая PII. Проблему оперативно закрыли; исследователь получил $25 000.

Пользователь Dust мог создать личного ассистента, затем изменить его sid на gemini-pro и тем самым клонировать отключённый глобальный агент. Это обходило админские ограничения и позволяло бесконечно запускать дорогостоящую модель даже после её выключения администратором.

Локальная уязвимость DLL-хиджаккинга в Acronis True Image 2021 Rescue Media Builder позволяет обычному пользователю подменить tcmalloc.dll и выполнить код с правами администратора, а затем через schtasks получить SYSTEM права.

При включённой мягкой валидации email на GitLab злоумышленник вставляет HTML-теги в адрес пользователя, которые рендерятся в модальном окне подтверждения администратором, что позволяет утечь его IP-адрес и провести простую атаку социальной инженерии. Фикс вышел в GitLab 16.1.1.

GitLab Pages продолжал отдавать контент на не верифицированные кастомные домены в течение 7 дней, что позволяло злоумышленнику создать CNAME/ALIAS на gitlab.io и захватить субдомен. Атакующий мог размещать произвольный HTML, красть cookies, проводить фишинг и обходить CSP/CORS.

Неэкранированное имя переменной окружения в Taskcluster позволяет внедрять shell-команды в аргумент podman, что даёт удалённое исполнение кода (RCE) на хосте воркера community-tc.services.mozilla.com. Любой авторизованный пользователь мог запустить задачу с подменённым ключом env и получить вывод команд вне контейнера.

Неэкранированное имя переменной окружения в Taskcluster позволяет внедрять shell-команды в аргумент podman, что даёт удалённое исполнение кода (RCE) на хосте воркера community-tc.services.mozilla.com. Любой авторизованный пользователь мог запустить задачу с подменённым ключом env и получить вывод команд вне контейнера.

Pitchfork на Rack 3 не фильтрует символы CR/LF внутри значений заголовков, что позволяет разделять HTTP-ответ, добавлять произвольные заголовки и даже внедрять тело ответа с XSS. Проблема воспроизводится через массивный синтаксис заголовков, отсутствует в Rack 2 и блокируется Nginx только частично.

Администратор любой программы на demo.bugbounty.bi.zone может отправить PATCH /api/users/{user}/ и подменить e-mail, username и телефон любого аккаунта без проверки прав, что позволяет угонять аккаунты через восстановление пароля и просматривать чужие приватные репорты. Корень проблемы — Broken Access Control (горизонтальная привилегия).

Администратор любой программы на demo.bugbounty.bi.zone может отправить PATCH /api/users/{user}/ и подменить e-mail, username и телефон любого аккаунта без проверки прав, что позволяет угонять аккаунты через восстановление пароля и просматривать чужие приватные репорты. Корень проблемы — Broken Access Control (горизонтальная привилегия).

В Apache Tomcat версии 9.0.98 обнаружена уязвимость удалённого выполнения кода (CVE-2025-24813), позволяющая злоумышленнику выполнять системные команды при определённых условиях. Уязвимость возникает при включённой записи через Default Servlet, поддержке частичных PUT-запросов, использовании файловых сессий по умолчанию и наличии в приложении библиотеки, уязвимой к десериализации. После уведомления об уязвимости команда Apache Tomcat выпустила исправленную версию.

Обнаружена уязвимость в методе `CGI::Cookie.parse` библиотеки `cgi` языка Ruby (CVE-2025-27219), сообщенная исследователем под псевдонимом **lio346**. Уязвимость позволяет злоумышленнику вызвать отказ в обслуживании, отправив специально сформированную строку cookie, которая вызывает сверхлинейное время обработки. Рекомендуется немедленно обновить библиотеку `cgi` до последней версии, где эта проблема устранена.

В библиотеке `Net::IMAP` для Ruby обнаружена уязвимость (CVE-2025-25186), позволяющая злоумышленнику вызвать отказ в обслуживании через переполнение памяти при разборе специально сформированных `uid-set`. Уязвимость затрагивает версии `net-imap` от 0.3.2 до 0.3.8, 0.4.19 и 0.5.6 невключительно и была исправлена в этих версиях. Рекомендуется обновить `net-imap` до версии 0.3.8, 0.4.19, 0.5.6 или более новой для устранения проблемы.

Обнаружена уязвимость в сервисе AWS Glue, позволяющая злоумышленникам с использованием скомпрометированных учетных данных IAM перечислять права доступа без регистрации этих действий в CloudTrail. Это возможно благодаря 12 нестандартным API-конечным точкам, обращения к которым не логируются в CloudTrail. В результате злоумышленники могут скрытно исследовать права доступа и избежать обнаружения системами мониторинга безопасности.

Некоторые непроизводственные API-эндпоинты сервиса CloudWatch не регистрируют действия в CloudTrail, что позволяет злоумышленникам незаметно перечислять разрешения и возможности учетной записи без обнаружения. Эти эндпоинты доступны с использованием стандартных IAM учетных данных и позволяют выполнять стандартные операции CloudWatch без записи в журналы безопасности. Рекомендуется обеспечить логирование всех API-запросов и ограничить доступ к непроизводственным эндпоинтам для усиления безопасности.

В сервисе Amazon ElastiCache обнаружена уязвимость, позволяющая злоумышленникам использовать не-производственную конечную точку API, которая не регистрирует запросы в CloudTrail. Это позволяет им незаметно перечислять доступные разрешения и действия учетной записи, оставаясь незамеченными для стандартных механизмов безопасности. Данная проблема создает риск скрытого исследования системы и подготовки к последующим атакам без возможности обнаружения через CloudTrail.

Обнаружена уязвимость, позволяющая пользователям с ролью **Builder** просматривать все имена секретов в рабочем пространстве, создавать новые секреты и перезаписывать существующие, что приводит к эскалации привилегий и несанкционированному изменению секретов. Это может привести к манипуляции конфигурацией приложений и доступу к конфиденциальным данным. Команда подтвердила проблему и устранила уязвимость, ограничив возможности роли **Builder** в соответствии с ожидаемым поведением.

Некоторые непроизводственные конечные точки API службы AWS SSM не регистрировали действия в CloudTrail, позволяя злоумышленникам бесшумно перечислять разрешения. Было обнаружено 18 таких конечных точек, которые могли использоваться со стандартными IAM-учетными данными для выполнения операций без регистрации в CloudTrail. AWS устранила эту уязвимость, и теперь попытки вызова этих конечных точек возвращают ошибку.