EH.SU

В Burp Suite обнаружена уязвимость в словаре нагрузок `CGI scripts`, связанная с небезопасным вводом для `windmail.exe`, что может привести к несанкционированной отправке файлов с сервера на сторонний электронный адрес. Эта проблема обусловлена наличием в словаре опасных записей, способных вызвать утечку данных при их использовании. Разработчики Burp Suite исправили уязвимость в версии 2024.10, и было назначено вознаграждение в размере $200 за ее обнаружение.

В отчете выявлена уязвимость в сервисе Amazon DocumentDB Elastic, где не-продуктивные API endpoints не логируются в CloudTrail. Это позволяет злоумышленникам скрытно перечислять разрешения скомпрометированных учетных данных без записи в логи, затрудняя обнаружение несанкционированной активности. Уязвимость повышает риск эскалации привилегий и последующих атак на инфраструктуру AWS.

На сайте `echo.urbandictionary.biz` обнаружена уязвимость, позволяющая выполнить CSRF-атаку с отражённым XSS посредством подмены типа контента. Сервер без должной фильтрации отражает любой контент из тела POST-запроса на любые `.html` ресурсы, что позволяет злоумышленнику выполнить произвольный JavaScript-код в браузере жертвы. Данная уязвимость может привести к краже пользовательских данных, перехвату сессии и другим серьёзным последствиям.

Обнаружена уязвимость в Shopify Collabs, позволяющая злоумышленнику захватить учетную запись креатора, создав новый Shopify ID с адресом электронной почты жертвы на collabs.shopify.com без подтверждения электронной почты. Это дает злоумышленнику полный доступ к учетной записи жертвы и возможность совершать от ее имени любые действия на платформе. Более того, злоумышленник может заблокировать пользователя, создав Shopify ID с его адресом электронной почты, что помешает жертве подать заявку на сотрудничество с брендами.

Уязвимость CVE-2023-5561 на сайте payapps.com позволяла неавторизованным злоумышленникам получать электронные адреса пользователей, опубликовавших публичные посты, что могло привести к фишинговым атакам и спаму. Компания Autodesk оперативно устранила проблему, закрыв доступ к этой информации для неавторизованных пользователей и усилив меры безопасности. Пользователям рекомендуется быть бдительными с подозрительными сообщениями и по возможности обновить пароли.

Обнаружена уязвимость в AWS, при которой после истечения сессии пользователи корректно выходят из AWS Management Console, но всё ещё могут получить доступ к AWS Access Portal без повторной аутентификации. Это обход ожидаемых мер безопасности, требующих повторной аутентификации через AWS SSO после завершения сессии, что может привести к несанкционированному доступу при оставленной без присмотра сессии. Рекомендуется настроить механизм управления сессиями так, чтобы после истечения времени сессии требовалась полная повторная аутентификация для доступа ко всем связанным сервисам.

Обнаружена уязвимость типа SQL-инъекции в параметре `customerId` на сайте `https://seesure.admyntec.co.za`, позволяющая злоумышленнику выполнять произвольные SQL-команды. Уязвимость подтверждается вызовом ошибки при добавлении одинарной кавычки в значение параметра и успешным применением инструмента SQLmap для доступа к базе данных. Это предоставляет возможность несанкционированного извлечения данных пользователей и других конфиденциальных сведений.

Исследователь @kanon4 обнаружил, что на сайте wonderdynamics.com был общедоступен файл debug.log, содержащий детальную отладочную информацию WordPress, включая полные пути к файлам на сервере. Это могло привести к раскрытию внутренней структуры сервера и повысить риск успешных атак злоумышленников. Команда безопасности Autodesk оперативно устранила уязвимость, ограничив доступ к файлу и усилив настройки безопасности.

Исследователь под псевдонимом capablanca0 обнаружил критическую уязвимость на платформе MercadoLibre, которая позволяла злоумышленникам отменять продажи других продавцов без ограничений. Уязвимость типа Insecure Direct Object Reference (IDOR) возникала из-за недостаточной проверки прав доступа при обработке запросов на отмену продажи. Команда безопасности MercadoLibre оперативно исправила проблему, внедрив строгую проверку прав доступа и проведя аудит безопасности.

Обнаружена возможная уязвимость ReDoS (Regular Expression Denial of Service) в механизме фильтрации параметров запроса Action Dispatch фреймворка Ruby on Rails, получившая идентификатор CVE-2024-41128. Специально сформированные параметры запроса могут вызвать увеличение времени обработки, что позволяет злоумышленникам осуществить атаку типа Denial of Service (DoS). Рекомендуется обновить Rails до исправленной версии или использовать Ruby версии 3.2 и выше для снижения риска.

В октябре 2024 года в гипервизоре Xen была обнаружена уязвимость (CVE-2024-45818), связанная с обработкой памяти VGA для HVM-гостей на платформе x86. Неправильная реализация механизма блокировки может привести к взаимоблокировке (deadlock) при определенных операциях, что вызывает отказ в обслуживании (DoS) всех доменов, включая сам гипервизор. Рекомендуется обновить Xen до исправленной версии (с 4.6 по 4.19 уязвимы) или применить соответствующие патчи из [XSA-463](https://xenbits.xen.org/xsa/advisory-463.html).

В отчёте описывается потенциальная уязвимость в Burp Suite, позволяющая злоумышленникам выполнить произвольный код на машине жертвы через вредоносные расширения. Это может привести к полной компрометации системы, включая запуск обратных shell'ов и получение постоянного доступа. Рекомендуется устанавливать расширения только из доверенных источников и быть осторожными при работе с непроверенными расширениями.

Было обнаружено, что открытый прокси-сервер предоставляет доступ к внутренним доменам компании Reddit, что представляет потенциальную угрозу безопасности. Эта уязвимость позволяла неавторизованным пользователям обращаться к внутренним сервисам и получать доступ к конфиденциальной информации. После уведомления команда безопасности Reddit оперативно устранила проблему и выплатила исследователю вознаграждение в размере $7,500.

На сайте https://mpos.mtn.co.sz/, использующем фреймворк Laravel, обнаружено включение режима отладки (APP_DEBUG=true), что приводит к раскрытию конфиденциальной информации, включая структуру файловой системы и подробные сообщения об ошибках. Это создает серьезную уязвимость, позволяющую злоумышленникам получить ценную информацию для проведения атак на приложение. Рекомендуется немедленно отключить режим отладки и принять меры по усилению безопасности приложения.

Обнаружена уязвимость в системе WordPress, позволяющая неаутентифицированным пользователям получать доступ к конфиденциальной информации через конечную точку REST API `/wp-json/wp/v2/users/15`. Это приводит к утечке персональных данных (PII), включая электронные адреса администраторов, что может быть использовано злоумышленниками для проведения атак методом перебора паролей или инициирования запросов на сброс пароля. Кроме того, неправильная настройка политики CORS (`Access-Control-Allow-Credentials: true`) может позволить злоумышленникам выполнять привилегированные действия и получать конфиденциальную информацию через сторонние сайты.

Обнаружена уязвимость повышения привилегий CVE-2023-41763 на сайте mtn.com, связанная с отсутствием необходимых обновлений безопасности в Microsoft Skype for Business. Эта уязвимость активно эксплуатируется и позволяет злоумышленникам получить доступ к конфиденциальной информации, что может привести к раскрытию чувствительных данных и потенциальному доступу к внутренним сетям организации. Для устранения проблемы компания Microsoft выпустила обновление KB5032429.

Уязвимость позволяет злоумышленнику узнать скрытый email-адрес пользователя, приглашая его в организацию по его ID. Приглашение по ID приводит к отображению email пользователя в списке ожидающих приглашений, несмотря на настройки приватности. Это нарушает конфиденциальность пользователей и может привести к нежелательным последствиям.

В системе управления профилями пользователей Autodesk была обнаружена уязвимость типа Insecure Direct Object Reference (IDOR), позволяющая злоумышленнику удалить фотографию профиля другого пользователя через мутацию GraphQL `deleteProfileImages`. Проблема возникала из-за отсутствия надлежащей проверки прав доступа при использовании параметра `id`. Компания Autodesk оперативно исправила уязвимость, добавив необходимые проверки и проведя аудит аналогичных функций.

В Ads API TikTok была обнаружена уязвимость типа IDOR, позволяющая злоумышленникам без надлежащей авторизации добавлять продукты в каталоги других пользователей. Эта уязвимость могла использоваться для распространения нежелательного контента и нарушения целостности пользовательских данных. Команда безопасности TikTok оперативно устранила проблему, и исследователь p_oria получил вознаграждение в размере $500.

В библиотеке REXML для языка Ruby обнаружена уязвимость (CVE-2024-43398), приводящая к неограниченному потреблению системных ресурсов при обработке специально сформированных XML-файлов, что позволяет выполнить атаку типа отказ в обслуживании (DoS). Проблема связана с рекурсивными вызовами методов при парсинге, вызывающими зависание программы и повышенное использование CPU. Рекомендуется обновить библиотеку REXML до последней версии, где данная уязвимость устранена.

На сервере h2f54.n1.ips.mtn.co.ug обнаружен открытый доступ к странице `phpinfo.php`, предоставляющей подробную информацию о конфигурации веб-сервера и системы без авторизации. Это создает риск утечки чувствительных данных и может облегчить злоумышленникам проведение целевых атак на сервер. Рекомендуется удалить или ограничить доступ к этому файлу для предотвращения возможных угроз безопасности.

Обнаружена уязвимость в библиотеке `curl` в функции `curl_msnprintf()`, связанная с обработкой спецификатора формата `%hn` без соответствующего аргумента, что приводит к некорректной записи в память и потенциальному краху приложения. Функция пытается записать количество напечатанных символов по неверному адресу, вызывая неопределенное поведение и нарушение безопасности памяти. Рекомендуется разработчикам `curl` исправить обработку опасных спецификаторов формата, а пользователям убедиться в безопасности передаваемых в эти функции строк формата.

Обнаружена уязвимость типа IDOR на сайте `profile.autodesk.com`, позволяющая злоумышленнику без авторизации изменять фотографию профиля любого пользователя путем изменения параметра `id` в запросе. Компания Autodesk исправила эту проблему, введя проверку прав доступа при изменении фотографий профиля, чтобы предотвратить несанкционированный доступ. Благодарим исследователя Salman Rahman Chowdhury (@tasin_zucced___) за ответственное сообщение об уязвимости и содействие в ее устранении.

В январе 2025 года была обнаружена уязвимость типа IDOR в системе пользовательских профилей Autodesk, позволяющая злоумышленникам изменять профили других пользователей через уязвимый параметр `id`. Команда Autodesk оперативно исправила проблему, выпустив обновление, которое корректно проверяет права доступа при обращении к объектам по этому параметру. Данный инцидент подчеркнул важность регулярного аудита безопасности и контроля доступа в веб-приложениях для защиты данных пользователей.