В библиотеке xml-crypto пропатчили критические уязвимости

В библиотеке xml-crypto пропатчили критические уязвимости

В библиотеке xml-crypto пропатчили критические уязвимости

Разработчики xml-crypto выпустили обновления, устранив две схожие критические уязвимости. Проблемы позволяют обойти верификацию подписи XML-данных и повысить привилегии в системе либо выдать себя за другого юзера.

Библиотека цифровой подписи и шифрования XML для Node.js пользуется большой популярностью. В репозитории npm на долю xml-crypto приходится свыше 1 млн загрузок в неделю, а за последние семь дней ее скачали почти 1,4 млн раз.

Уязвимости CVE-2025-29774 и CVE-2025-29775 (по 9,3 балла CVSS) разнятся лишь изменениями, которые требуется внести в валидное XML-сообщение для обхода механизмов аутентификации и авторизации в системах, использующих xml-crypto.

В первом случае факт эксплойта выдает присутствие множественных элементов <SignedInfo> в цифровой подписи (должен быть один):

 

Признак компрометации через CVE-2025-29775 — присутствие комментариев в <DigestValue> (их не должно быть):

 

Патчи включены в состав сборки xml-crypto 6.0.1 и бэкпортом вышли в ветках 2.x и 3.x (выпуски 2.1.6 и 3.2.1 соответственно). Пользователям рекомендуется обновить криптобиблиотеку в кратчайшие сроки.

Телега начала возвращать деньги за подписку «Телега Плюс»

История с альтернативным телеграм-клиентом Телега получила продолжение. После объявления о прекращении работы команда проекта сообщила, что уже начала автоматически возвращать пользователям деньги за подписку «Телега Плюс».

Возвраты стартовали сразу после решения о закрытии сервиса. В компании подчеркивают: никаких заявлений подавать не нужно.

Деньги вернут автоматически, а пользователям отправят электронные чеки. Весь процесс может занять до недели.

Если подписка была оформлена после 27 мая 2026 года, стоимость компенсируют полностью. Тем, кто купил трехмесячный тариф раньше этой даты, вернут сумму за неиспользованный период.

Разработчики отдельно предупредили о возможных мошенниках. По их словам, команда не рассылает сообщения, не просит сообщить коды подтверждения и не отправляет ссылки для оформления возврата.

Напомним, о закрытии Телега стало известно 26 июня. Проект официально прекратит работу с 1 июля 2026 года. В качестве причин разработчики назвали невозможность обеспечить полное соответствие действующим требованиям для телеграм-клиентов, а также внешние ограничения, включая удаление приложения из App Store.

Любопытно, что еще совсем недавно ситуация выглядела прямо противоположной. В мае команда запустила подписку «Телега Плюс» стоимостью 99 рублей в месяц (или 1 рубль в первый месяц для новых пользователей), объяснив это резким ростом аудитории и необходимостью расширять серверные мощности.

Подписчикам обещали приоритетный доступ к сервису во время высокой нагрузки, подчеркивая, что речь идет не об аналоге Telegram Premium, а о механизме стабильного подключения.

Более того, из-за наплыва пользователей разработчикам даже пришлось временно ограничить регистрацию новых аккаунтов.

Однако спустя чуть больше месяца проект фактически свернул работу. Теперь команда сосредоточилась на том, чтобы корректно завершить сервис и вернуть деньги пользователям, оформившим подписку.

RSS: Новости на портале Anti-Malware.ru