Архив рубрики: Темы

Про уязвимость Remote Code Execution - expr-eval (CVE-2025-12735)

Про уязвимость Remote Code Execution - expr-eval (CVE-2025-12735). expr-eval - это JavaScript-библиотека для парсинга и вычисления математических выражений, обеспечивающая безопасную обработку пользовательских переменных. Она используется в онлайн-калькуляторах, учебных программах, инструментах для моделирования, финансовых приложениях, системах ИИ и обработки естественного языка (NLP). Уязвимость, связанная с недостаточной проверкой входных данных, может привести к выполнению произвольного JavaScript-кода в контексте приложения.

🛠 Уязвимость была выявлена 5 ноября. PoC на GitHub доступен с 11 ноября.

⚙️ Пока уязвимость находится в процессе устранения в основном (фактически заброшенном 🤷‍♂️) проекте expr-eval, и не полностью устранена в его форке expr-eval-fork. Безопасные версии должны появиться в соответствующей GHSA.

🌐 Библиотека популярная. У expr-eval 800к скачиваний в неделю на npm, у expr-eval-fork - 88к.

👾 Признаков эксплуатации вживую пока нет.

Ходили сегодня на музыкальный спектакль "Морозко" в музыкальный театр "На Басманной"

Добавить комментарий

Ходили сегодня на музыкальный спектакль "Морозко" в музыкальный театр "На Басманной". Эта версия, конечно, сильно отличается от всем знакомой киноверсии Роу. Но суть +- та же:

🔹 Неважно, как хорошо и усердно ты работаешь, нет гарантий, что тебя за это будут ценить и уважать. 😐 Нужно быть готовым, что тебя могут отправить с невыполнимым поручением "на мороз". Просто в силу обстоятельств корпоративной войны. 🤷‍♂️

🔹 И если так вышло, не советую поступать как главная героиня сказки: терпеть и держать всё в себе. В том числе утвердительно отвечать на вопрос от Higher Authorities: "Тепло ли тебе девица?" 😏🥶 Есть, конечно, шанс попасть на проницательного Морозку, который решит все проблемы. 🪄 Но куда вероятнее "замёрзнуть в сугробе", оказавшись потом виноватым во всех бедах (ко всеобщему удовольствию).

Берегите психику, качайте софт-скилы и аккуратно всё фиксируйте. Как правило, это полезнее VM-щику, чем погружение в техники эксплуатации конкретных уязвимостей. 😉

Читаем подаренную книгу "Вирьё Моё" как сказку на ночь

Добавить комментарий

Читаем подаренную книгу "Вирьё Моё" как сказку на ночь. Изредка приходится цензурить недетские словечки, но в целом норм. 😅 Дочке интересно как там складывается жизнь у "Саши из Сыктывкара" в вендоре "отечественного антивируса, который назывался всего тремя буквами". 🙂 А мне в принципе интересно, как оно там у "дятлов" и подробности по знаковым кейсам былых времён. Написано живо, увлекательно, простым языком. Надеюсь и с фокусом на VM будет когда-нибудь похожая книжка. 😇

Вчера дошли до явного VM-ного момента - эксплуатации уязвимости CVE-2002-0649 червём Helkern/SQL Slammer. Проходят десятки лет, а Microsoft так и остаётся стабильным поставщиком трендовых уязвимостей, от которых штормит весь мир. 😏 Непропатченные по полгода уязвимости высокой критичности также остаются обычным делом в организациях. 😉🤷‍♂️

Отмодерировал сегодня секцию Анализ Защищённости на Код ИБ Итоги 2025 и выступил там же

Добавить комментарий

Отмодерировал сегодня секцию Анализ Защищённости на Код ИБ Итоги 2025 и выступил там же. 🙂 Уже во второй раз. У нас было 5 десятиминутных докладов, 7 участников и 2 часа времени.

Роман Соловьёв задал тон обсуждению, поделившись статистикой по инцидентам и тем, как развиваются SOC-услуги МегаФона. Мы обсудили Анализ Защищённости как услугу и роль в этом ИИ (Андрей Кузнецов здорово раскачал дискуссию). Затем перешли к большому блоку про уязвимости. 🤩 Я поделился статистикой по трендовым уязвимостям 2025 года, Андрей Исхаков рассказал про уязвимости в западных мессенджерах (FYI, чуть меньше половины ИБ-шников в аудитории пользуются MAX 😉👍), Дмитрий Топорков рассказал о приоритизации уязвимостей. Кирилл Карпиевич поделился болями в части качества детектирования уязвимостей VM-решениями. Завершили рассказом об утечках и пентестерских практиках от Александра Анашина.

⚡️ Получилось динамично. Судя по оценкам, аудитории зашло. 😇 Большое спасибо организаторам и участникам!

По поводу Remote Code Execution уязвимости в React Server Components "React2Shell" (CVE-2025-55182)

Добавить комментарий

По поводу Remote Code Execution уязвимости в React Server Components "React2Shell" (CVE-2025-55182). Уязвимость критичная, CVSS 10. Потенциальный импакт очень большой, т.к. это React - один из самых популярных JavaScript-фреймворков, на котором буквально половина Интернета написана.

По поводу реальной эксплуатабельности… Одни исследователи сейчас хайпятся, что есть работающий эксплойт, какие-то сообщения об атаках и вот-вот случится апокалипсис. 😱 Другие - на том, что это всё ерунда и в реальности это эксплуатироваться не будет. 😏 Истина где-то между. 🙂

Имхо, хороший VM-щик/AppSec должен дойти сегодня до разрабов-фронтендеров, проверить используются ли уязвимые компоненты React и Node.js, завести заявки на обновление с высоким приоритетом. И спокойно наблюдать за кипешом. 🌝

Следует ждать обновлений и для других уязвимых фреймворков, включающих React, например React Router, Expo, Redwood SDK, Waku и др.

На Код ИБ Итоги в 12:00 коснёмся этой темы. 🙂

Вышел официальный пресс-релиз Positive Technologies по новому сканеру уязвимостей XSpider PRO

Добавить комментарий

Вышел официальный пресс-релиз Positive Technologies по новому сканеру уязвимостей XSpider PRO. 🔥 Функционально это классический сканер уязвимостей, который позволяет заводить и запускать сканы в black box и white box (включая Docker) режимах. Дальше по этим задачам можно выпускать отчёты.

📄 Продукт выпускают на замену XSpider 7.8, у которого в этом году закончился сертификат ФСТЭК. Сертификат ФСТЭК на XSpider PRO планируют получить до конца года.

✂️ Архитектурно XSpider PRO представляет собой урезанную версию MaxPatrol VM. Сканирующий движок там такой же. С поправкой на то, что MaxPatrol VM ещё агентно сканировать может через EDR, а здесь исключительно безагентное сканирование.

💳 Лицензируется по узлам и функциональности (можно купить лицензию только на black box). Но есть ограничение: максимальное количество сканируемых узлов для решения - 500 ❗️ Это решение для небольших компаний. Если нужно больше, смотрите в сторону MaxPatrol VM. 😉

Вышел предновогодний выпуск журнала Positive Research, в котором есть мой материал с ТОП-5 трендовых уязвимостей 2025 года

Добавить комментарий

Вышел предновогодний выпуск журнала Positive Research, в котором есть мой материал с ТОП-5 трендовых уязвимостей 2025 года. Я выделял не самые критичные уязвимости (все они самые критичные!), а скорее самые интересные и разнообразные. И это, безусловно, субъективная оценка.

Материал забрали в середине лета, поэтому были все шансы, что до конца года появится что-то интересное. Так и получилось. 😅 Сейчас на первое место я бы поставил:

🔻 RCE - Microsoft SharePoint "ToolShell" (CVE-2025-49704, CVE-2025-53770). С этой уязвимостью были связаны самые громкие атаки. 😉

Уязвимости из статьи:

🔻 RCE - CommuniGate Pro (BDU:2025-01331)
🔻 RCE & AFR - Apache HTTP Server (CVE-2024-38475)
🔻 RCE - Erlang/OTP (CVE-2025-32433)
🔻 RCE - Internet Shortcut Files (CVE-2025-33053)
🔻 Spoofing - Windows File Explorer (CVE-2025-24071)

Александр В. Леонов

Управление Уязвимостями и прочее

Архив рубрики: Темы

Про уязвимость Remote Code Execution - expr-eval (CVE-2025-12735)

Ходили сегодня на музыкальный спектакль "Морозко" в музыкальный театр "На Басманной"

Читаем подаренную книгу "Вирьё Моё" как сказку на ночь

Отмодерировал сегодня секцию Анализ Защищённости на Код ИБ Итоги 2025 и выступил там же

По поводу Remote Code Execution уязвимости в React Server Components "React2Shell" (CVE-2025-55182)

Вышел официальный пресс-релиз Positive Technologies по новому сканеру уязвимостей XSpider PRO

Вышел предновогодний выпуск журнала Positive Research, в котором есть мой материал с ТОП-5 трендовых уязвимостей 2025 года