Digital Security представила систему анализа кода ERPScan CheckCode

Digital Security представила систему анализа кода ERPScan CheckCode

ERPScan представили новый продукт собственной разработки - cистему статического анализа кода ERPScan CheckCode. Это решение предназначено для поиска потенциальных уязвимостей и закладок в программном коде и совмещает как типовые современные методы поиска уязвимостей, так и методы поиска программных закладок, специфичных для бизнес-приложений.

Статический анализатор кода, разработанный ERPScan, позволяет выявлять проблемы безопасности на этапе разработки и эксплуатации информационной системы.  В данный момент ERPScan CheckCode поддерживает следующие языки: ABAP/4, PeopleCode, X++, и1C. В ближайшее время запланирована поддержка JAVA, C, C++, C#, PHP, PL/SQL. 

Компания шла к созданию этого продукта несколько лет. Эксперты ERPScan активно ведут работу по анализу защищенности бизнес-приложений и исследования исходного кода на языке ABAP уже не один год. Серьезным шагом на этом пути стало создание несколько лет назад статического анализатора ABAP-кода, входящего в состав ERPScan Security Monitoring Suite for SAP, в котором применение уникальных собственных алгоритмов позволило успешно искать уязвимости, существенно минимизировав при этом число ложных срабатываний и обеспечив должную полноту поиска. Успешно решив эту непростую задачу для АВАР, одного из самых сложных на сегодня языков для бизнес-приложений, в ERPScan задались целью адаптировать этот опыт и для других языков. В итоге, был создан отдельный продукт - ERPScan CheckCode.

Одной из общеизвестных проблем статического анализа кода является количество ложных срабатываний при поиске уязвимостей, связанных с неправильной валидацией данных. Исследования ERPScan показывают, что более 70 % уязвимостей в большинстве языков крайне сложно обнаружить без применения статического  анализа с потоками данных, что обуславливает необходимость этой технологии для статических сканеров исходного кода.

Илья Медведовский: «Одним из главных преимуществ новой системы ERPScan CheckСode является использование технологии анализа потока данных собственной разработки для уменьшения количества ложных срабатываний при высокой полноте анализа. Мы не сомневаемся, что наш продукт будет востребован на российском и зарубежных рынках, поскольку сегодня существует большая потребность в оптимальных с точки зрения качества работы и стоимости решениях для анализа исходного кода». 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новая уязвимость в Forminator грозит захватом 600 000 сайтов WordPress

Недавно пропатченная уязвимость в WordPress-плагине Forminator позволяет без аутентификации удалять любые файлы на сервере, в том числе wp-config.php, что может привести к потере контроля над сайтом.

Названное расширение CMS предназначено для создания веб-форм. В настоящее время на его счету свыше 600 тыс. активных установок.

Отчет об уязвимости, которой был присвоен идентификатор CVE-2025-6463, был подан в Wordfence в рамках ее программы Bug Bounty; автор опасной находки получил вознаграждение в размере $8100.

Согласно описанию, в появлении проблемы повинна функция entry_delete_upload_files, которая некорректно проверяет пути к файлам, указанные при отправке форм (отсутствуют проверки типа полей, файловых расширений, ограничений на загрузку в директории).

Из-за этого возникла возможность включения массива файлов в любое поле формы. При последующем ее удалении (например, как спама, вручную админом либо автоматически в соответствии с настройками Forminator) все указанные в метаданных файлы тоже исчезнут.

Если в результате эксплойта удалить файл wp-config.php, целевой сайт перейдет в состояние установки, и злоумышленник сможет удаленно управлять им, связав с подконтрольной базой данных.

Эксперты особо отметили, что атака в данном случае проста в исполнении, к тому же ее можно автоматизировать. Степень опасности уязвимости оценена в 8,8 балла по CVSS.

Патч вышел 30 июня в составе сборки 1.44.3; админам рекомендуется обновить плагин в кратчайшие сроки. В профильной базе данных «Эшелона» эта уязвимость пока не числится.

В прошлом году в Forminator устранили сразу три уязвимости. Одна позволяла загружать произвольные файлы на сервер, другая — провести SQL-инъекцию, третья представляла собой XSS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru