Про уязвимость SQL Injection - Django (CVE-2025-64459)

Добавить комментарий

Про уязвимость SQL Injection - Django (CVE-2025-64459)

Про уязвимость SQL Injection - Django (CVE-2025-64459). Django - это бесплатный и открытый веб-фреймворк на языке Python. Уязвимость позволяет злоумышленникам манипулировать логикой запроса к базе данных, внедряя внутренние параметры запроса (_connector и _negated), когда приложения передают контролируемый пользователем ввод напрямую в вызовы filter(), exclude() или get(). Эксплуатация SQL-инъекции может привести к несанкционированному доступу к данным, обходу аутентификации или повышению привилегий.

⚙️ Уязвимость была исправлена в версиях Django 5.2.8, 5.1.14 и 4.2.26, вышедших 5 ноября 2025 года. Более ранние, неподдерживаемые версии Django (такие как 5.0.x, 4.1.x и 3.2.x) не проверялись и могут быть уязвимы.

🛠 6 ноября для уязвимости появился публичный эксплойт.

👾 Информации об эксплуатации в атаках пока нет.

🌐 По данным 6sense, доля Django среди веб-фреймворков составляет 32 %, и он применяется более чем в 42 000 компаниях. Ful.io отслеживает более 2,9 млн веб-сайтов на Django.

Небольшой апдейт по автоматизации работы с MaxPatrol VM, а именно с токенами аутентификации

Добавить комментарий

Небольшой апдейт по автоматизации работы с MaxPatrol VM, а именно с токенами аутентификации

Небольшой апдейт по автоматизации работы с MaxPatrol VM, а именно с токенами аутентификации. Раньше, до версии 27.4 (2.9), единственным способом получения токенов аутентификации был запрос к mpvm_url + ':3334/connect/token' с указанием логина, пароля и параметра ClientSecret из конфига /var/lib/deployer/role_instances/Core/params.yaml на сервере. Не очень удобно, но жить можно.

Начиная с версии 27.4 (2.9), в продукте появился удобный интерфейс для работы с токенами. Можно зайти в PT Management Console, в левом нижнем углу нажать на значок с человечком и вашим логином, выбрать опцию "Токены доступа". Затем "+ Создать". Указать название, описание, срок действия и необходимые привилегии. И вуаля - готовый токен. Удобно, наглядно и в конфиг на сервере лезть не требуется. 👍

Этот токен можно использовать в скрипте ровно так же, как и токен, получаемый через API по логину/паролю и ClientSecret. Например, выполнять с его помощью PDQL запросы. 😉

Были сегодня в Оружейной палате Московского Кремля на детской экскурсии "Здесь не счесть сокровищ царских"

Добавить комментарий

Были сегодня в Оружейной палате Московского Кремля на детской экскурсии Здесь не счесть сокровищ царских
Были сегодня в Оружейной палате Московского Кремля на детской экскурсии Здесь не счесть сокровищ царскихБыли сегодня в Оружейной палате Московского Кремля на детской экскурсии Здесь не счесть сокровищ царскихБыли сегодня в Оружейной палате Московского Кремля на детской экскурсии Здесь не счесть сокровищ царских

Были сегодня в Оружейной палате Московского Кремля на детской экскурсии "Здесь не счесть сокровищ царских". Кремль, конечно, абсолютно сакральное место. Во всём торжественность, строгость и мощь. 😇 Работа службы охраны, даже судя по малой видимой части, образцовая. 👍 Чувствуется, что находишься рядом с центром управления региональной сверхдержавой. 🚀

🔹 Из экспонатов Оружейной палаты (фотографировать там запрещено, фотки из рувики и официального сайта) мне больше всего понравился костяной трон. Его называют троном Ивана Грозного, но вероятнее, что он принадлежал Михаилу Романову.

🔹 Также понравилась история рязанского клада, который был скрыт в земле при нападении хана Батыя в 1238 году, был найден крестьянами Устином Ефимовым (с сыном) и Яковом Петровым в 1822 году. Клад они не утаили, а передали официальным лицам, за что получили 10 000 р. серебром (корова стоила от 5 до 20 р.). Не могу не провести здесь параллель с централизованным репортингом уязвимостей. 😉

Что такое Continuous Threat Exposure Management (CTEM)? Ранее мы уже определили Exposure Management (EM, Управление Экспозициями) как выявление и приоритизированное устранение экспозиций

Добавить комментарий

Что такое Continuous Threat Exposure Management (CTEM)? Ранее мы уже определили Exposure Management (EM, Управление Экспозициями) как выявление и приоритизированное устранение экспозиций

Что такое Continuous Threat Exposure Management (CTEM)? Ранее мы уже определили Exposure Management (EM, Управление Экспозициями) как выявление и приоритизированное устранение экспозиций. Тогда логично было бы определить Continuous Threat Exposure Management (CTEM) как некоторую разновидность Exposure Management с акцентом на

🔹 Непрерывность (Continuous). Безусловно, выявление, оценка и устранение экспозиций - это не то, чем можно заниматься пару раз в год в рамках аудита. Чтобы EM был эффективным, он должен быть непрерывным.

🔹 Учёт угроз (Threat). Действительно, для адекватной приоритизации экспозиции необходимо учитывать факты эксплуатации экспозиций группами злоумышленников. Отсылка к реальным кейсам сделает приоритизацию экспозиций и путей атак более убедительной и наглядной.

Поэтому термин Continuous Threat Exposure Management стоит переводить на русский как Непрерывное Управление Экспозициями с учётом Угроз. 😉

Ноябрьский Linux Patch Wednesday

Добавить комментарий

Ноябрьский Linux Patch Wednesday

Ноябрьский Linux Patch Wednesday. В ноябре Linux вендоры начали устранять 516 уязвимостей, в полтора раза меньше, чем в октябре. Из них 232 в Linux Kernel. Для одной уязвимости есть признаки эксплуатации вживую:

🔻 MemCor - Chromium (CVE-2025-13223). В CISA KEV с 19 ноября.

Ещё для 64 уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:

🔸 RCE - Samba (CVE-2025-10230), Apache Tomcat (CVE-2025-55752), NVIDIA Container Toolkit (CVE-2024-0132, CVE-2025-23359), Lasso (CVE-2025-47151), QuickJS (CVE-2025-62494), Keras (CVE-2025-9905)
🔸 SQLi - Django (CVE-2025-64459)
🔸 InfDisc - Webmin (CVE-2024-44762), Squid (CVE-2025-62168), BIND (CVE-2025-31133), QuickJS (CVE-2025-62492, CVE-2025-62493)
🔸 SFB - BIND (CVE-2025-40778)
🔸 AuthBypass - Webmin (CVE-2025-61541)
🔸 MemCor - Suricata (CVE-2025-59150)

🗒 Полный отчёт Vulristics

Пока на SOC Forum обсуждали, нужно ли пинать безопасников, стремящихся к состоянию покоя, у меня прошёл заключительный экскурсионный день семейного отдыха в Коломне

Добавить комментарий

Пока на SOC Forum обсуждали, нужно ли пинать безопасников, стремящихся к состоянию покоя, у меня прошёл заключительный экскурсионный день семейного отдыха в Коломне
Пока на SOC Forum обсуждали, нужно ли пинать безопасников, стремящихся к состоянию покоя, у меня прошёл заключительный экскурсионный день семейного отдыха в КоломнеПока на SOC Forum обсуждали, нужно ли пинать безопасников, стремящихся к состоянию покоя, у меня прошёл заключительный экскурсионный день семейного отдыха в КоломнеПока на SOC Forum обсуждали, нужно ли пинать безопасников, стремящихся к состоянию покоя, у меня прошёл заключительный экскурсионный день семейного отдыха в Коломне

Пока на SOC Forum обсуждали, нужно ли пинать безопасников, стремящихся к состоянию покоя, у меня прошёл заключительный экскурсионный день семейного отдыха в Коломне. 🙂

🔹 В музее пастилы (не фабрики, а ещё одном) снова послушали про историю этой сладости и продегустировали её под рассказы о Достоевском (sic!). Оказывается, классик очень любил чаёвничать и ему больше всего нравилась белая пастила, внешне похожая на зефир (см. фото). Но на вкус эта пастила гораздо более тягучая - кусочек не откусишь, только целиком жевать.

🔹 В краеведческом музее заинтересовал аналог фонографа "Говорящая бумага", использующий бумажную ленту в качестве носителя.

🔹 В музее пчеловодства было интересно послушать про плавучие выставки конца XIX века, знакомящие крестьян с передовыми пчеловодческими практиками.

Вы только представьте: плавучая конференция по ИБ, доступная для посещения в городах следования. 🤪 Оригинальный был бы формат, неправда ли? 😉🛳️

Собираюсь модерировать секцию Анализ Защищённости на конференции Код ИБ Итоги 4 декабря

Добавить комментарий

Собираюсь модерировать секцию Анализ Защищённости на конференции Код ИБ Итоги 4 декабря

Собираюсь модерировать секцию Анализ Защищённости на конференции Код ИБ Итоги 4 декабря. Финальный список участников пока согласовывается, но как минимум там буду я и Кирилл Карпиевич, поэтому трендовые уязвимости, VM-ные практики и недостатки VM-решений мы точно обсудим. 😉

Расширенный список вопросов:

🔹 Какие уязвимости стали наиболее критичными в 2025 году, и как изменились ключевые тренды по сравнению с прошлым годом?

🔹 Какие инциденты ИБ, связанные с эксплуатацией уязвимостей, оказались наиболее значимыми в этом году, и как их можно было бы предотвратить?

🔹 Как изменились подходы к выявлению и устранению уязвимостей? Какая функциональность Vulnerability Management продуктов сейчас наиболее востребована?

🔹 Какие изменения в законодательстве и регуляторике в этом году повлияли на Анализ Защищённости, и какие изменения назрели?

🔹 Какие изменения в Анализе Защищённости ожидают нас в 2026 году: прогнозы и пожелания?

Upd. Что получилось. 😉