Декабрьский "В тренде VM": уязвимости в Windows, библиотеке expr-eval, Control Web Panel и Django. Традиционная ежемесячная подборка трендовых уязвимостей. В этот раз достаточно компактная. 💽
🗞 Пост на Хабре
🗞 Пост на SecurityLab
🗒 Дайджест на сайте PT
Всего четыре уязвимости:
🔻 EoP - Windows Kernel (CVE-2025-62215)
🔻 RCE - expr-eval (CVE-2025-12735)
🔻 RCE - Control Web Panel (CVE-2025-48703)
🔻 SQLi - Django (CVE-2025-64459)
Мне не нравится, когда опенсурс возводят в культ и представляют как волшебное решение всех проблем, а в особенности проблем с кибербезопасностью. 😬 На самом деле опенсурс это в основном про хаос, безответственность и огромное количество неблагодарной и, как правило, неоплачиваемой работы. 🤷♂️
Возьмём библиотеку expr-eval из предыдущего поста. У библиотеки 800k скачиваний в неделю, она используется в куче проектов (только в npm 259 зависящих пакетов). При этом когда был последний коммит в проект? 4 года назад. 🫠 Вот исследователи нашли там критичную уязвимость, принесли фикс мейнтейнеру Matthew Crumley на GitHub, а достучаться до него не могут. Последняя активность на гитхабе в 2023 году. 🤷♂️ Соответственно, нет и вполне вероятно, что не будет фикса в этой библиотеке, которая остаётся доступной для использования.
Самого Matthew Crumley в этом нельзя винить, он, так-то, никому и ничего не должен. 😉 И надеюсь, что у него всё хорошо и просто человеку надоело. 🙏
Про уязвимость Remote Code Execution - expr-eval (CVE-2025-12735). expr-eval - это JavaScript-библиотека для парсинга и вычисления математических выражений, обеспечивающая безопасную обработку пользовательских переменных. Она используется в онлайн-калькуляторах, учебных программах, инструментах для моделирования, финансовых приложениях, системах ИИ и обработки естественного языка (NLP). Уязвимость, связанная с недостаточной проверкой входных данных, может привести к выполнению произвольного JavaScript-кода в контексте приложения.
🛠 Уязвимость была выявлена 5 ноября. PoC на GitHub доступен с 11 ноября.
⚙️ Пока уязвимость находится в процессе устранения в основном (фактически заброшенном 🤷♂️) проекте expr-eval, и не полностью устранена в его форке expr-eval-fork. Безопасные версии должны появиться в соответствующей GHSA.
🌐 Библиотека популярная. У expr-eval 800к скачиваний в неделю на npm, у expr-eval-fork - 88к.
👾 Признаков эксплуатации вживую пока нет.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.