Ловите вкусные баги прошедшей недели
#CVE #unauthRCE #Azure #SharePoint #JavaScript #RCE

➡️HTTP Request Smuggling в ASP.NET Core (CVE-2025-55315, CVSS 9.9) — критическая уязвимость в Microsoft.AspNetCore.Server.Kestrel.Core, возникающая из-за некорректной обработки chunk extensions в HTTP/1.1 chunked transfer encoding. Парсер Kestrel принимает не валидные line terminators в chunk extension headers, создавая расхождение в интерпретации границ HTTP-запросов между Kestrel и upstream-прокси. Атакующий может сконструировать payload типа

GET / HTTP/1.1\r\n
Host: localhost\r\n
Transfer-Encoding: chunked\r\n
Content-Type: text/plain\r\n
\r\n
2;\rxx\r\n
xy\r\n
0\r\n
\r\n

, где proxy интерпретирует данные как единый запрос, и Kestrel спарсит его как два последовательных. Это позволит протащить второй запрос в обход аутентификации, авторизации и CSRF-защиты. Это не только проблема .NET — подтверждены уязвимости в Apache Traffic Server (CVE-2024-53868), Google Classic Application Load Balancer ($15,000 баунти), pound, nginx (отказались исправлять), AIOHTTP (CVE-2024-52304), Eclipse Jetty, Ktor (CVE-2025-29904), uvicorn и hypercorn. HTTP/2 и HTTP/3 не подвержены этой уязвимости, так как используют другие механизмы потоковой передачи данных. Есть PoC.

➡️Unauth RCE в CLI-инструмент md-to-pdf (CVE-2025-65108, CVSS 10.0) — уязвимость внедрения кода в инструменте md-to-pdf, конвертирующем Markdown в PDF через Node.js и headless Chrome. Проблема кроется в обработке front-matter блоков. Библиотека gray-matter некорректно парсит JavaScript-разделители (---js), что позволяет выполнять произвольный код в контексте процесса конвертера без валидации. Эксплуатация достигается внедрением вредоносного payload в front-matter блок Markdown-файла (например, ((require("child_process")).execSync("команда"))), который автоматически интерпретируется JS-движком при обработке документа. Есть PoC.

➡️Unauth privilege escalation в Grafana Enterprise SCIM (CVE-2025-41115, CVSS 10.0) — критическая уязвимость некорректного назначения привилегий. Механизм провизионирования SCIM некорректно маппирует внешний атрибут externalId напрямую на внутренний user.uid, интерпретируя строковые числовые значения как нативные integer ID. Атакующий с доступом к скомпрометированному SCIM-клиенту может создать нового пользователя с externalId="1", что приведет к коллизии с UID существующего администратора и полной подмене личности без аутентификации. Есть PoC.

➡️Deserialization RCE в Microsoft SharePoint Online (CVE-2025-59245, CVSS 9.8) — эскалация привилегий через небезопасную десериализацию сериализованных объектов от недоверенных источников. SharePoint десериализует пользовательский input без валидации типов, что позволяет инжектировать crafted-объекты с переопределенными магическими методами (__wakeup, __destruct), выполняющими произвольный код при десериализации. Атака реализуется удаленно без аутентификации и позволяет получить полные административные привилегии в tenant SharePoint Online с возможностью экфильтрации корпоративных документов.

➡️Cryptographic failure в Библиотека hpke-js (CVE-2025-64767, CVSS 9.1) — критическая криптографическая уязвимость повторного использования nonce. Проблема заключается в race condition API SenderContext.seal(). При конкурентных вызовах к криптографической функции отсутствует синхронизация доступа к внутреннему sequence number counter, что приводит к вызову computeNonce() с идентичными значениями и генерации одинаковых AEAD-nonce для разных plaintext. В криптографии AEAD повторное использование nonce катастрофично. Используя баг, атакующий получает возможность восстановить открытые тексты через known-plaintext attacks и подделывать аутентифицированные сообщения. Есть PoC.

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч