FixVibe

// docs / changelog

Журнал изменений

FixVibe обновления сканера: новое покрытие, улучшения безопасности и точности. Сначала самые новые записи.

2026-07-02

  • ИСПРАВЛЕНОLegal-link false positives reduced. Privacy and terms links that are visible after client-side rendering now count correctly, so SPA footers are not reported as missing when users can see those links.

30 июня 2026 г.

  • НОВОЕLabel Studio CVE-2025-47783 reflected XSS check. Verified active scans now flag Label Studio upload-example responses when target-specific label_config evidence shows raw HTML metacharacter reflection, without executing JavaScript, using victim sessions, reading tokens, or storing project data.
  • НОВОЕAVideo CVE-2023-25313 / GHSA-pgvh-p3g4-86jw advisory. Repo scans flag affected wwbn/avideo Composer manifests and lockfiles below 12.4 with version-based evidence only; no AVideo login, video-link submission, video creation, request-delay checks, command execution, or runtime exploit claim.
  • НОВОЕGL.iNet GL-MT3000 CVE-2026-11451 advisory. Verified active scans flag GL.iNet GL-MT3000 firmware 4.4.5 as version-based advisory evidence only; no router authentication, FTP-setting changes, file writes, command input, or command-execution claim.
  • УЛУЧШЕНОПокрытие удаленной перезагрузки Schneider Modicon M221. Существующая пассивная проверка прошивки Modicon M221 теперь сопоставляет те же надежные публичные HTTP-свидетельства продукта и версии прошивки с CVE-2018-7789 вместе с CVE-2018-7790 и сообщает контекст версии без отправки reboot-проб, запросов Modbus, replay-аутентификации, загрузки PLC-программ или утверждений о подтвержденной эксплуатации.
  • НОВОЕMbed TLS CVE-2024-45159 repo advisory coverage. GitHub repo scans now flag source and build metadata for affected Mbed TLS 3.2.0 through 3.6.0 releases, reporting version-based advisory evidence without client-certificate probes, TLS handshake testing, or authentication-bypass confirmation.
  • НОВОЕOracle Java SE/GraalVM CVE-2022-21340 repo advisory coverage. GitHub repo scans now flag explicit Oracle Java SE or Oracle GraalVM Enterprise runtime metadata, reporting version-based advisory evidence without running Java, sandbox-code proof, denial-of-service traffic, or runtime exploit confirmation.
  • НОВОЕOpenSSL CMS CVE-2025-15467 advisory. GitHub repo scans now flag affected OpenSSL CMS release-line evidence and report branch-aware source/config evidence without crash, denial-of-service, or code-execution reproduction.
  • НОВОЕcodfish semantic-release GitHub Action compromise check. Repo scans can now flag workflow YAML references to codfish/semantic-release-action refs associated with the June 2026 compromise, reporting source/config evidence only. The check does not run GitHub Actions, read CI secrets, inspect runners, or claim credential theft.
  • НОВОЕSpring Data Commons property-path advisory coverage. GitHub repo scans now report Maven/Gradle dependency evidence for Spring Data Commons versions associated with CVE-2018-1274 / GHSA-5q8m-mqmx-pxp9. The finding stays version-based and does not run the app, probe Spring Data REST endpoints, send crafted property-path parameters, stress CPU or memory, or claim denial-of-service confirmation.
  • НОВОЕvm2 Promise species advisory coverage. GitHub repo scans now report npm manifest and lockfile evidence for vm2 versions associated with CVE-2026-47208 / GHSA-76w7-j9cq-rx2j. The finding stays version-based and does not run the app, execute sandbox-breakout proof-of-concept code, inspect live workers, or claim host command execution.
  • НОВОЕpyLoad /flashgot advisory coverage. GitHub repo scans now report Python manifest and lockfile evidence for pyload-ng versions associated with CVE-2024-47821 / GHSA-w7hq-f2pj-c53g. The finding stays version-based and does not run pyLoad, send /flashgot requests, change settings, download files, write script directories, or claim command execution.
  • НОВОЕSAP Cloud SDK for AI Python advisory check. GitHub repo scans now flag Python manifest and lockfile evidence for sap-ai-sdk-base versions affected by CVE-2023-25617 / GHSA-xxhh-59gh-6ffx as version-based advisory evidence, without running Python, connecting to SAP BusinessObjects, scheduling Program Objects, sending command-injection input, or claiming OS command execution.
  • НОВОЕGradio Windows/Python path traversal advisory check. GitHub repo scans now flag Gradio dependency evidence for CVE-2026-28414 / GHSA-39mp-8hj3-5c49 and raise confidence when repository configuration also points to Windows with Python 3.13+, without requesting Gradio file endpoints, sending traversal input, reading files, or claiming live arbitrary file read.

29 Jun 2026

  • НОВОЕMISP STIX import source advisory coverage. GitHub repo scans now report source evidence for CVE-2018-19908 in app/Model/Event.php when original STIX filenames flow into shell command construction. The check uses repository source evidence and does not run MISP, import files, or claim runtime command execution.
  • НОВОЕMindsDB status version advisory coverage. Verified active scans now include MindsDB /api/status version evidence for CVE-2026-27483 when the public status endpoint reports a release before 25.9.1.1. This read-only check does not upload files, send traversal filenames, or claim remote-code execution.
  • НОВОЕNiceGUI upload filename source advisory check. GitHub repo scans now include CVE-2026-25732 coverage when affected NiceGUI dependency evidence appears with upload-handler source that saves paths built from client-supplied filenames. The check reports source/dependency evidence without uploading files, writing outside upload directories, or claiming code execution.

June 18, 2026

  • НОВОЕSillyTavern SearXNG SSRF active check. Verified active scans now report only direct evidence that a SillyTavern SearXNG search proxy fetched a FixVibe-controlled external callback URL. The probe avoids localhost, cloud metadata, private-network targets, and internal-service requests.
  • НОВОЕПроверка Glances REST API, доступного без аутентификации. Проверенные активные сканирования теперь могут подтвердить, что сканируемый origin раскрывает идентичность Glances REST API и ответы в форме метрик без аутентификации. FixVibe записывает только форму ответа и избегает широких API-дампов, списков процессов, командных строк, конфигурации или секретов.
  • НОВОЕSpring Data Commons + XMLBeam advisory coverage. GitHub repo scans now report paired Maven/Gradle dependency evidence for Spring Data Commons and XMLBeam versions associated with CVE-2018-1259 / GHSA-m929-7fr6-cvjg. The finding stays version-based and does not run the app, send XML payloads, probe endpoints, read local files, or claim SSRF confirmation.
  • НОВОЕПроверка зависимости Moby AuthZ по advisory. Сканирование репозиториев GitHub теперь может отмечать Go-манифесты, которые разрешаются в версии Moby или Docker Engine, затронутые CVE-2026-34040 / GHSA-x744-4wpc-v9h2, как версионное advisory-доказательство без подключения к Docker APIs, проверки AuthZ-плагинов, отправки специально созданных запросов или заявления о подтвержденном обходе авторизации.
  • НОВОЕNGINX rewrite-module config advisory check. GitHub repo scans can now correlate affected NGINX version evidence with rewrite-module configuration evidence for CVE-2026-42945, without running NGINX, sending traffic, or claiming memory-corruption proof.
  • НОВОЕSQLitePCLRaw NuGet advisory check. GitHub repo scans can now flag .NET project and NuGet lockfile evidence for affected SQLitePCLRaw native SQLite packages tied to CVE-2025-6965 / GHSA-2m69-gcr7-jv3q, without claiming memory-corruption proof.
  • НОВОЕgemini-mcp-tool CVE-2026-0755 advisory. Repo scans flag affected npm manifest and lockfile versions for GHSA-4h5r-5jm8-jxjm with repository version evidence only. The check does not run the MCP server, send command or @file probes, trigger callbacks, read local files, or assert runtime exploit confirmation.
  • НОВОЕMastra easy-day-js advisory check. GitHub repo scans flag easy-day-js manifest and lockfile evidence tied to the June 2026 Mastra npm incident. The finding stays limited to repository dependency evidence and does not verify stale npm owners, run package scripts, inspect hosts, or assert credential theft.
  • НОВОЕDrupal Core CVE-2026-9082 advisory check. GitHub repo scans flag Composer manifest and lockfile versions for GHSA-ghwc-95x2-682j with repository version evidence only. The check does not run Drupal, verify PostgreSQL, send SQL payloads, extract data, or assert runtime exploit confirmation.
  • НОВОЕParamiko SSH-server authentication advisory check. GitHub repo scans can now flag Python dependency files that resolve Paramiko releases affected by CVE-2018-7750 / GHSA-232r-66cg-79px, reporting version-based advisory evidence without starting an SSH server, sending bypass traffic, or claiming deployed server-mode exposure.
  • НОВОЕApache Tomcat HTTP/2 resource-consumption dependency advisory check. GitHub repo scans can now flag Maven and Gradle build files that resolve Tomcat releases affected by CVE-2020-11996 / GHSA-53hp-jpwq-2jgq, reporting version-based advisory evidence without running Tomcat, sending HTTP/2 denial-of-service traffic, generating high-CPU proof traffic, or claiming runtime availability impact.
  • НОВОЕ@andrei-tatar/nora-firebase-common prototype-pollution advisory check. GitHub repo scans can now flag npm manifests and lockfiles that resolve @andrei-tatar/nora-firebase-common versions affected by CVE-2024-30564 / GHSA-jjff-q3q4-5hh8, reporting version-based advisory evidence without running the package, mutating Object.prototype, sending proof payloads, or claiming runtime exploit confirmation.
  • НОВОЕcordova-plugin-inappbrowser Android advisory check. GitHub repo scans can now flag npm manifests, lockfiles, and Cordova config.xml files that resolve cordova-plugin-inappbrowser versions affected by CVE-2019-0219 / GHSA-c6pw-q7f2-97hv, reporting version-based advisory evidence without building mobile binaries, loading proof content, exercising plugin bridge behavior, or claiming deployed Android exploitability.
  • НОВОЕNokogiri libxslt RubyGems advisory coverage. GitHub repo scans now report Gemfile, Gemfile.lock, and gemspec evidence for Nokogiri releases affected by CVE-2019-18197 / GHSA-242x-7cm6-4w8j. The check uses version-based RubyGems evidence and does not run Ruby, process XML or XSLT input, crash-test libxslt, or claim runtime exploit confirmation.
  • НОВОЕPerl GD CPAN advisory coverage. GitHub repo scans now report CPAN dependency evidence for Perl GD releases affected by CVE-2026-11526. The check uses version-based repository evidence and does not run Perl, process image files, pass crafted filenames to GD::Image constructors, or claim command-execution or file-overwrite confirmation.
  • НОВОЕkill-port-process CVE-2019-15609 advisory check. GitHub repo scans flag affected npm manifest and lockfile versions for GHSA-xp4x-j9vh-c3wf, reporting version evidence only. The check does not run the package, send command payloads, terminate processes, or assert runtime exploit confirmation.
  • НОВОЕproxy npm advisory coverage. GitHub repo scans can now report repository dependency evidence for proxy releases associated with CVE-2023-2968 / GHSA-mj6p-3pc9-wf5m. The finding stays version-based and does not run proxy, send crafted request traffic, crash-test services, or claim runtime denial-of-service confirmation.
  • НОВОЕApache ActiveMQ Artemis Jolokia dependency advisory check. GitHub repo scans can now flag Maven and Gradle build files that resolve org.apache.activemq:artemis-cli versions affected by CVE-2023-50780 / GHSA-443j-grxv-2pgv, reporting version-based advisory evidence without authenticating to Jolokia, enumerating MBeans, changing Log4J2 configuration, writing files, restarting services, or claiming live RCE confirmation.
  • НОВОЕApache ActiveMQ Artemis dependency advisory check. GitHub repo scans can now flag Maven and Gradle build files that pin or allow artemis-server versions affected by CVE-2026-27446 / GHSA-fw88-pf9m-p947, reporting version-based advisory evidence without connecting to brokers, triggering federation callbacks, or claiming message injection/exfiltration confirmation.
  • НОВОЕApache Spark UI dependency advisory check. GitHub repo scans can now flag Maven, Gradle, and PySpark dependency files that pin or allow Apache Spark versions affected by CVE-2022-33891 / GHSA-4x9r-j582-cgr8, reporting version-based advisory evidence without visiting Spark UI, sending active exploit probes, or claiming command-execution confirmation.
  • НОВОЕvLLM pickle-deserialization dependency advisory check. GitHub repo scans can now flag Python dependency files that pin or allow vllm versions affected by CVE-2024-9053 / GHSA-cj47-qj6g-x7r4, reporting version-based advisory evidence without running vLLM, exposing AsyncEngineRPCServer, sending pickle payloads, or claiming runtime code-execution confirmation.
  • НОВОЕApache Airflow example-DAG advisory coverage. GitHub repo scans can now report repository dependency evidence for Airflow releases associated with CVE-2024-45498 / GHSA-c392-whpc-vfpr. The finding stays version-based and does not probe Airflow UI, trigger DAGs, run command payloads, or claim runtime exploit confirmation.
  • НОВОЕONNX download_model_with_test_data advisory coverage. GitHub repo scans now report Python dependency evidence for onnx releases affected by CVE-2024-5187 / GHSA-6rq9-53c3-f7vj and add source-call context when download_model_with_test_data appears. The check does not run Python, download or extract model archives, create malicious tar files, overwrite files, or claim runtime exploit confirmation.
  • НОВОЕYOURLS type-juggling dependency advisory check. GitHub repo scans can now flag Composer and YOURLS source-version evidence for yourls/yourls releases affected by CVE-2019-14537 / GHSA-vf23-f26f-mjj9, reporting version-based advisory evidence without calling the YOURLS API, sending authentication-bypass requests, probing admin pages, or claiming unauthorized access.
  • НОВОЕhttp4k-format-xml dependency advisory check. GitHub repo scans can now flag Maven and Gradle build files that resolve org.http4k:http4k-format-xml versions affected by CVE-2024-55875 / GHSA-7mj5-hjjj-8rgw, reporting version-based advisory evidence without sending XML payloads, SSRF callbacks, local-file reads, or denial-of-service traffic.

June 14, 2026

  • ИСПРАВЛЕНОDOM XSS fragment probe stability fix. Verified active scans now skip the DOM fragment probe cleanly when browser automation is unavailable at startup, so reports no longer show internal browser-context errors for that check.
  • УЛУЧШЕНОExpanded Red Hat npm worm coverage. GitHub repo scans now include additional Wiz-reported @redhat-cloud-services package versions for the Miasma campaign, while still reporting repository dependency evidence without installing packages, executing lifecycle scripts, or claiming credential theft.
  • НОВОЕKnown npm typosquat package check. GitHub repo scans can now flag package manifests and lockfiles that resolve Microsoft-reported vpmdhaj npm typosquat package versions, reporting version-based advisory evidence without installing packages, executing lifecycle scripts, fetching tarballs, contacting attacker infrastructure, or claiming credential theft.
  • НОВОЕCodex Remote UI token-stealing npm package check. GitHub repo scans can now flag package manifests and lockfiles that resolve codexui-android 0.1.82 or newer, reporting version-based advisory evidence without installing the package, executing it, reading Codex auth files, contacting exfiltration infrastructure, or claiming token theft.
  • НОВОЕClaude Code GitHub Action workflow repo check. GitHub repo scans can now flag Claude Code Action workflows with mutable action refs, broad workflow token permissions, or risky access override inputs, reporting workflow YAML evidence without running Actions, executing Claude Code, reading CI secrets, or claiming prompt-injection exploitation.
  • НОВОЕonering Rust crate malware repo check. GitHub repo scans can now flag Cargo manifests or lockfiles that resolve onering 1.4.1 or the known compromised onering git commit, and can flag matching checked-in build.rs evidence, without running Cargo, executing build scripts, fetching crates, or claiming source exfiltration.
  • НОВОЕNode-gyp / Phantom Gyp npm worm repo check. GitHub repo scans can now flag package manifests or lockfiles that resolve known malicious npm package versions from the binding.gyp supply-chain campaign, or flag matching binding.gyp source evidence, without running npm install, executing node-gyp, downloading tarballs, or claiming credential theft.

June 11, 2026

  • УЛУЧШЕНОMoxa NPort authentication advisory coverage. The existing verified-active Moxa NPort firmware check now correlates the same strong HTTP model and firmware evidence with CVE-2016-9361 as part of the MCSA-160401 advisory family, while still reporting a version-based advisory without attempting password retries, brute-force checks, firmware uploads, unauthenticated administrative actions, SNMP queries, serial-device protocol probes, crash tests, or exploit confirmation.
  • УЛУЧШЕНОMoxa NPort unauthenticated firmware-update advisory coverage. The existing verified-active Moxa NPort firmware check now correlates the same strong HTTP model and firmware evidence with CVE-2016-9369 as part of the MCSA-160401 advisory family, while still reporting a version-based advisory without attempting firmware uploads, unauthenticated administrative actions, SNMP queries, serial-device protocol probes, crash tests, or exploit confirmation.
  • НОВОЕSchneider Modicon M221 firmware advisory check. Passive scans can now flag strong public HTTP product and firmware-version evidence for Modicon M221 controllers associated with CVE-2018-7790, reporting version-based advisory context without capturing credentials, replaying authentication, querying Modbus, uploading PLC programs, or claiming unauthorized-access confirmation.
  • НОВОЕLangflow CVE-2025-34291 CORS advisory check. Verified active scans can now flag affected Langflow instances when target-specific version evidence is paired with credentialed CORS origin reflection, without authenticating, reading tokens, triggering refresh flows, or claiming code-execution confirmation.
  • НОВОЕSiteOmat BOS version advisory check. Verified active scans can now flag public SiteOmat BOS version evidence associated with CVE-2017-14728 as a version-based advisory, without attempting default credentials, SSH login, broad port scans, state-changing management actions, or unauthorized access.
  • НОВОЕSiteOmat login SQL injection advisory check. Verified active scans can now flag public SiteOmat BOS version evidence associated with CVE-2017-14851 as a version-based advisory, without submitting login forms, sending SQL injection payloads, attempting authentication bypass, accessing post-login pages, or making state-changing management requests.
  • НОВОЕSiteOmat CGI buffer-overflow advisory check. Verified active scans can now flag public SiteOmat BOS version evidence associated with CVE-2017-14854 as a version-based advisory, without sending crafted CGI input, overflow payloads, crash tests, broad port scans, state-changing management actions, or exploit requests.
  • НОВОЕKubernetes externalIPs manifest advisory check. GitHub repo scans can now flag Kubernetes Service manifests that declare non-empty spec.externalIPs as source/config hardening evidence for CVE-2020-8554, without inspecting live clusters, checking RBAC, sending traffic, or claiming traffic interception.
  • НОВОЕApache Tomcat EncryptInterceptor dependency advisory check. GitHub repo scans can now flag Maven and Gradle files that resolve exact Tomcat releases associated with CVE-2026-34486 / GHSA-69r9-qgr7-g2wj, reporting version-based advisory evidence without running Tomcat, inspecting cluster traffic, sending crafted Tribes packets, or claiming plaintext-disclosure confirmation.
  • НОВОЕApache Tomcat h2c request mix-up dependency advisory check. GitHub repo scans can now flag Maven and Gradle files that resolve Tomcat embedded-core or Coyote versions affected by CVE-2021-25122 / GHSA-j39c-c8hj-x4j3, reporting version-based advisory evidence without running Tomcat, sending h2c upgrade requests, capturing traffic, or claiming information-disclosure confirmation.
  • НОВОЕPickleScan ZIP CRC dependency advisory check. GitHub repo scans can now flag Python dependency files that pin or allow PickleScan versions affected by CVE-2025-10156 / GHSA-mjqp-26hc-grxg, reporting version-based advisory evidence without running PickleScan, creating corrupted archives, loading models, or claiming runtime code-execution confirmation.
  • НОВОЕNLTK Zip Slip dependency advisory check. GitHub repo scans can now flag Python dependency files that pin or allow NLTK versions affected by CVE-2025-14009 / GHSA-7p94-766c-hgjp, reporting version-based advisory evidence without running Python or NLTK, calling nltk.download(), extracting packages, creating malicious archives, or claiming runtime code-execution confirmation.
  • НОВОЕTanStack ArkType adapter malware dependency check. GitHub repo scans can now flag package manifests and lockfiles that resolve @tanstack/arktype-adapter to malicious versions 1.166.12 or 1.166.15 from CVE-2026-45321 / GHSA-g7cv-rxg3-hmpx, reporting version-based advisory evidence without running npm install, executing lifecycle scripts, downloading tarballs, or claiming credential theft.
  • НОВОЕMbed TLS CVE-2021-44732 repo advisory check. GitHub repo scans can now flag source and build metadata that identify Mbed TLS versions affected by CVE-2021-44732, reporting version-based advisory evidence without running Mbed TLS, forcing out-of-memory behavior, calling session-copy APIs, or claiming live double-free confirmation.
  • НОВОЕIIS TRACK method exposure check. Verified active scans can now flag legacy TRACK echo behavior associated with CVE-2003-1567 using non-sensitive request evidence, without sending cookies, credentials, browser exploit pages, user traffic, or state-changing requests.
  • НОВОЕRed Hat npm worm dependency advisory check. GitHub repo scans can now flag package manifests and lockfiles that resolve known compromised @redhat-cloud-services npm versions associated with the credential-stealing worm campaign, reporting dependency evidence without executing install scripts or claiming credential theft.
  • НОВОЕDICOM executable preamble check. GitHub repo scans can now flag committed DICOM files whose Part 10 preamble carries executable-file evidence, reporting static file evidence without executing the file or claiming production compromise.

June 10, 2026

  • НОВОЕMbed TLS CVE-2023-45199 repo advisory check. GitHub repo scans can now flag source and build metadata that identify Mbed TLS 3.2.x through 3.4.x, reporting version-based advisory evidence without sending TLS handshake payloads or claiming live memory corruption.
  • НОВОЕRockwell MicroLogix 1100 advisory fingerprint. Passive scans can now flag strong public HTTP evidence of a Rockwell Automation MicroLogix 1100 controller associated with CVE-2021-33012, reporting advisory context without sending industrial protocol commands or claiming denial-of-service behavior.
  • НОВОЕMoxa NPort firmware advisory check. Verified active scans can now flag public HTTP model and firmware-version evidence for Moxa NPort devices associated with CVE-2016-9363, reporting version-based advisory context without sending crafted packets, querying SNMP, testing serial-device services, or claiming exploit confirmation.
  • НОВОЕRockwell MicroLogix 1100 authentication-attempt advisory check. Verified active scans can now flag public HTTP model and firmware evidence for MicroLogix 1100 controllers associated with CVE-2017-7898, reporting version-based advisory context without attempting logins, brute force, or industrial protocol probes.
  • НОВОЕLog4j 1.2 JDBCAppender advisory check. GitHub repo scans can now flag Log4j 1.2 dependency evidence paired with JDBCAppender SQL configuration for CVE-2022-23305 / GHSA-65fg-84f6-3jq3, reporting repository/config evidence without executing SQL, writing log events, or claiming runtime database compromise.
  • НОВОЕLog4j 1.2 JMSAppender advisory check. GitHub repo scans can now flag Log4j 1.2 dependency evidence paired with JMSAppender configuration for CVE-2021-4104 / GHSA-fp5r-v3w9-4333, reporting repository/config evidence without contacting JNDI or JMS services or claiming runtime exploit confirmation.
  • НОВОЕMicrosoft ATL MS09-035 source advisory check. GitHub repo scans can now flag legacy Visual C++ ATL project metadata paired with ATL source usage associated with CVE-2009-0901/CVE-2009-2493/CVE-2009-2495, reporting source/build advisory evidence without inspecting build machines, sending malformed streams, probing information disclosure, or claiming live code-execution confirmation.
  • НОВОЕLangflow CVE-2026-33017 version advisory check. Verified active scans can now flag public Langflow version evidence for CVE-2026-33017 / GHSA-vwmf-pq79-vjvx as a version-based advisory, without submitting flow data, building flows, executing code, or claiming public-flow exploit confirmation.
  • НОВОЕKeras CVE-2025-1550 dependency advisory check. GitHub repo scans can now flag Python dependency files that pin or allow Keras versions affected by CVE-2025-1550 / GHSA-48g7-3x6r-xfhp, reporting version-based advisory evidence without loading model archives, generating payloads, or claiming runtime code-execution confirmation.
  • НОВОЕTLS RC4 negotiation advisory check. Verified active scans can now flag TLS endpoints that still select RC4 cipher suites associated with CVE-2015-2808, reporting confirmed RC4 support without capturing traffic or claiming plaintext recovery.
  • НОВОЕTLS Sweet32 DES/3DES advisory check. Verified active scans can now flag TLS endpoints that still select DES or 3DES 64-bit block cipher suites associated with CVE-2016-2183, reporting confirmed cipher negotiation without capturing traffic or claiming plaintext recovery.
  • НОВОЕSchneider PowerLogic EGX advisory check. Verified active scans can now flag public PowerLogic EGX100 firmware or EGX300 product evidence associated with CVE-2021-22765/CVE-2021-22767/CVE-2021-22768, reporting product/firmware advisory context without sending crafted HTTP packets, querying industrial protocols, crash-testing gateways, or claiming exploit confirmation.

May 27, 2026

  • НОВОЕArcserve UDP CVE-2025-34523 version advisory check. Verified active scans can now flag public Arcserve UDP version evidence for CVE-2025-34523 as a version-based advisory, without sending crafted heap-overflow input, crash-testing the service, authenticating to the console, or claiming command execution.
  • НОВОЕLiferay Portal CVE-2010-5327 version advisory check. Verified active scans can now flag public Liferay Portal version evidence for CVE-2010-5327 as a version-based advisory, without authenticating, editing templates, sending template payloads, or claiming command execution.
  • НОВОЕws excessive-header DoS dependency advisory check. GitHub repo scans can now flag npm manifests and lockfiles that resolve ws versions affected by CVE-2024-37890 / GHSA-3h5v-q93c-6h6q, reporting version-based advisory evidence without sending denial-of-service traffic or claiming runtime WebSocket exposure.

May 25, 2026

  • УЛУЧШЕНОSPIP version advisory wording. Passive SPIP version findings now distinguish version-fingerprint advisory evidence for CVE-2016-7980 and CVE-2016-7998 from runtime exploit proof, without active CSRF, local-file validation, or template-execution reproduction.
  • ИСПРАВЛЕНОActive scan reliability and SSTI accuracy fix. Active scans now safely store response-derived evidence that contains unsupported control characters, and SSTI reporting requires stronger target-specific template-evaluation evidence instead of common page or static-asset content.

May 24, 2026

  • НОВОЕWebdriverIO BrowserStack service dependency advisory check. GitHub repo scans can now flag npm manifests and lockfiles that resolve @wdio/browserstack-service versions affected by CVE-2026-25244 / GHSA-5c46-x3qw-q7j7, reporting version-based advisory evidence without running WebdriverIO, starting BrowserStack Local, or using command payloads.
  • НОВОЕWordPress REST API user-exposure check. Verified active scans can now report WordPress REST users endpoints that return public user slugs to unauthenticated clients, with medium-severity exposure wording that does not claim WordPress version proof or account compromise.
  • НОВОЕDjango CSRF dependency advisory check. GitHub repo scans can now flag Python dependency files that pin or allow Django versions affected by CVE-2011-0696 / GHSA-5j2h-h5hg-3wf8, reporting version-based advisory evidence without running Django, probing state-changing routes, or claiming runtime CSRF exploitability.
  • НОВОЕTMT Lockcell SQL injection active check. Verified active scans can now report TMT Lockcell login surfaces whose responses change consistently with CVE-2023-3047, using a bounded login-response comparison that does not run timing delays, follow authenticated redirects, or extract database data.
  • НОВОЕOpenSSL PowerPC Poly1305 advisory check. GitHub repo scans can now correlate affected OpenSSL 3.x version evidence with PowerPC build/deployment evidence for CVE-2023-6129, reporting version-and-architecture advisory evidence without reproducing state corruption or denial-of-service behavior.

May 23, 2026

  • НОВОЕПроверка рекомендации electerm по неаутентифицированному выполнению команд. Сканирование репозиториев GitHub теперь может помечать манифесты npm и lock-файлы, которые закрепляют или допускают версии electerm, затронутые CVE-2020-23256 / GHSA-x73w-g8hx-v7rp, и сообщает результат как рекомендацию на основе версии, не зондируя и не запуская сервис electerm.
  • НОВОЕПроверка рекомендации зависимости SaltStack Salt. Сканирование репозиториев GitHub теперь может помечать свидетельства зависимости Python для версий Salt, затронутых CVE-2017-12791 / GHSA-xxvj-8g5m-4qgw, и сообщает это как рекомендацию на основе версии, не зондируя рукопожатия master Salt.
  • НОВОЕПроверка раскрытия fsinfo в rclone RC. Подтверждённые активные сканирования теперь могут подтверждать неаутентифицированное раскрытие fsinfo через rclone Remote Control, связанное с CVE-2026-41179 / GHSA-jfwf-28xr-xw6q, используя ограниченные свидетельства метаданных и без выполнения команд.
  • НОВОЕПроверка рекомендации Apache Tomcat по сохранению сессий. Сканирование репозиториев GitHub теперь может помечать файлы сборки Maven и Gradle, которые разрешают версии Tomcat, затронутые CVE-2020-9484 / GHSA-344f-f5vg-2jfj, и усиливать находку, когда конфигурация репозитория также показывает сохранение сессий через PersistentManager на основе FileStore.
  • НОВОЕNote Mark dependency advisory check. GitHub repo scans can now flag Go manifests that resolve Note Mark backend versions affected by CVE-2026-44522 / GHSA-g49p-4qxj-88v3, reporting the result as a version-based advisory without uploading files, triggering exports, or claiming live RCE confirmation.

20 мая 2026 г.

  • НОВОЕGogs dependency advisory check. GitHub сканирования репозитория теперь могут помечать манифесты Go, которые закрепляют затронутые версии Gogs для CVE-2018-20303 / GHSA-9hxg-w7qf-hh93, с консультативным подтверждением на основе версии, а не с подтверждением прохождения пути.
  • НОВОЕdeephas prototype-pollution advisory check. GitHub сканирования репозитория теперь могут помечать манифесты npm и файлы блокировки, которые разрешают версии deephas, затронутые CVE-2020-28271 / GHSA-4fr2-j4g9-mppf, с рекомендательными данными на основе версий, а не подтверждением загрязнения прототипа во время выполнения.
  • НОВОЕOpenSSL TLSv1.3 session advisory check. GitHub сканирования репозитория теперь могут сопоставлять затронутые доказательства версии OpenSSL со свидетельствами конфигурации сеанса TLSv1.3 для CVE-2024-2511, сообщая о доказательствах средней достоверности source/config, а не о реальном подтверждении отказа в обслуживании.

19 мая 2026 г.

  • УЛУЧШЕНОelecterm Linux install-script coverage. Рекомендации по зависимостям Electerm теперь включают CVE-2026-41501 / GHSA-8x35-hph8-37hq наряду с существующими рекомендациями по установочным сценариям macOS, сохраняя область обнаружения для манифеста npm и доказательства файла блокировки, а не для подтверждения использования эксплойта.
  • НОВОЕGeniXCMS author-route SQL injection check. Проверенные активные сканирования теперь могут подтверждать поведение ошибок базы данных CVE-2017-5517-style на авторских маршрутах GeniXCMS с конкретными целевыми доказательствами, без извлечения данных или деструктивных SQL зондов.
  • НОВОЕNetmaker DNS key authorization-bypass check. Проверенные активные сканирования теперь могут подтвердить воздействие CVE-2023-32077 на развертываниях Netmaker, когда DNS API, доступный только для чтения, отклоняет базовый запрос, но возвращает свидетельство записи DNS через устаревший путь авторизации DNS, без создания, изменения или удаления записей.
  • НОВОЕopenDCIM source command-injection check. GitHub сканирования репозитория теперь могут помечать шаблон CVE-2026-28517 source/config в report_network_map.php с подтверждением соответствия источника, достоверностью и ограничениями возможности использования во время выполнения вместо активного выполнения команд.
  • НОВОЕSPIP valider_xml XSS check. Проверенные активные сканирования теперь могут подтверждать CVE-2016-7981-style неэкранированное отражение URL в развертываниях SPIP с конкретными целевыми данными HTML-контекста без выполнения JavaScript в браузере.
  • НОВОЕApache Tomcat Coyote dependency advisory check. GitHub при сканировании репозитория теперь может помечать файлы сборки Maven и Gradle, которые разрешают версии Tomcat Coyote или встроенного ядра, затронутые CVE-2025-48989 / GHSA-gqp3-2cvr-x8m3, с консультативным подтверждением на основе версии, а не подтверждением отказа в обслуживании во время выполнения.
  • НОВОЕveraPDF XSLT dependency advisory check. GitHub при сканировании репозитория теперь может помечать файлы сборки Maven и Gradle, которые устраняют артефакты veraPDF, затронутые CVE-2024-28109 / GHSA-qxqf-2mfx-x8jw, с консультативным свидетельством на основе версии, а не с подтверждением выполнения XSLT.

18 мая 2026 г.

  • НОВОЕСканирование репозитория electerm dependency advisory check. GitHub может помечать манифесты npm и файлы блокировки, которые закрепляют или разрешают версии Electrm, на которые влияют CVE-2026-41500 / GHSA-wxw2-rwmh-vr8f и CVE-2026-41501 / GHSA-8x35-hph8-37hq, с рекомендательными данными на основе версий, а не с подтверждением использования эксплойтов.
  • НОВОЕСканирование репозитория OpenCms dependency advisory check. GitHub теперь может помечать файлы Maven pom.xml, которые закрепляют или разрешают версии org.opencms:opencms-core, затронутые CVE-2023-42344 / GHSA-rcc6-6q2f-m2cw, с консультативным подтверждением на основе версии, а не с подтверждением эксплойта XXE.
  • НОВОЕMagicMirror /cors SSRF check. Проверенные активные сканирования теперь могут подтверждать воздействие CVE-2026-42281 на экземплярах MagicMirror, когда неаутентифицированная конечная точка /cors получает внешний обратный вызов, контролируемый FixVibe, без проверки внутренних служб.

17 мая 2026 г.

  • НОВОЕFUXA hardcoded JWT secret check. Проверенные активные сканирования теперь могут подтвердить воздействие CVE-2025-69971 на экземплярах FUXA, которые все еще доверяют уязвимой резервной конфигурации подписи JWT.
  • НОВОЕCKAN DataStore SQL exposure check. Проверенные активные сканирования теперь могут подтверждать неаутентифицированный CKAN доступ к хранилищу данных SQL, связанный с CVE-2026-42031, и помогать группам использовать исправленные версии версий CKAN или более безопасную конфигурацию хранилища данных.

16 May 2026

  • НОВОЕPDF.js dependency advisory check. GitHub при сканировании репозитория теперь может помечать манифесты npm и файлы блокировки, которые закрепляют или разрешают версии pdfjs-dist, на которые влияет CVE-2024-4367 / GHSA-wgrm-67xf-hhpq.
  • НОВОЕActive scans via REST API and MCP. Активное сканирование теперь можно запускать из REST и MCP для проверенных доменов, которые были явно авторизованы с панели управления. Разрешение может быть отозвано в любое время.
  • НОВОЕSafer authorization levels for active scans. Авторизация домена теперь отличает более безопасные автоматические активные проверки от более глубокого активного тестирования, поэтому команды могут автоматизировать правильный уровень проверки для каждого домена.
  • НОВОЕFirst-use webhook for API/MCP active scans. Вебхук может уведомлять команды о первом запуске API/MCP-triggered активного сканирования нового авторизованного домена.
  • УЛУЧШЕНОImproved Referrer-Policy findings. Missing or weak Referrer-Policy results now separate URL-referrer leakage from broad information exposure, show document-response evidence, and include generic plus static-host remediation guidance.
  • УЛУЧШЕНОImproved Permissions-Policy findings. Missing or weak Permissions-Policy results now show feature-level evidence, separate broad feature allowlists from missing hardening, and include generic plus static-host remediation guidance for common hosts, proxies, and app servers.
  • УЛУЧШЕНОImproved clickjacking header prompts. Missing X-Frame-Options findings now point agents to CSP frame-ancestors as the modern protection, add Vercel/static SPA header guidance, and verify x-frame-options with CSP.
  • УЛУЧШЕНОCSP header evidence and fix prompts improved. Отчеты об отсутствующих-CSP теперь включают более четкий контекст хостинга и ответа, а также более безопасные рекомендации по исправлению с учетом инфраструктуры.
  • ИСПРАВЛЕНОVercel path-probe false positives reduced. FixVibe теперь требует более веских доказательств для конкретного приложения, прежде чем сообщать об обнаруженных артефактах платформы при развертываниях, которые перезаписывают неизвестные маршруты в оболочку приложения.
  • ИСПРАВЛЕНОНаходки по комплаенсу больше не носят вводящих в заблуждение CWE-меток. Раньше проверка legal-compliance помечала «отсутствует политика конфиденциальности» и «отсутствуют условия» меткой CWE-359 (раскрытие PII), что не описывает реальный пробел. Теперь эти находки публикуются без CWE — это вопросы комплаенса, а не классифицируемые уязвимости.

15 мая 2026 г.

  • НОВОЕAdditional research-informed checks. FixVibe предоставил дополнительные материалы на основе недавних исследований уязвимостей и сопоставил повторяющиеся темы с существующими модулями сканера, где покрытие уже существовало.
  • НОВОЕПроверка утечки секретов в репозитории. Сканирование репозиториев GitHub теперь может помечать жёстко закодированные ключи провайдеров и подозрительно высокоэнтропийные значения, попавшие в исходный код, с замаскированными доказательствами и стандартной подсказкой ротации FixVibe.
  • НОВОЕVercel deployment protection check. Пассивное сканирование теперь может помечать общедоступные URL-адреса развертывания, созданные *.vercel.app, которые отвечают без Vercel Deployment Protection, в то время как существующие проверки заголовков продолжают проверять CSP, HSTS и усиление защиты браузера.

14 мая 2026 г.

  • НОВОЕLiteLLM dependency advisory check. GitHub при сканировании репозитория теперь может помечать файлы зависимостей Python, которые закрепляют или разрешают версии LiteLLM, на которые влияет CVE-2026-42208 / GHSA-r75f-5x8p-qvmc.
  • НОВОЕLibreNMS dependency advisory check. GitHub при сканировании репозитория теперь может помечать манифесты Composer с этим закреплением или разрешать версии LibreNMS, на которые влияет CVE-2024-51092 / GHSA-x645-6pf9-xwxw.
  • УЛУЧШЕНОСканирование Firebase rules detection improved. BaaS теперь обнаруживает больше форм приложений Firebase и использует доказательства, доступные только для чтения, для выявления рискованного раскрытия общедоступных данных.

13 мая 2026 г.

  • НОВОЕRepo Supabase RLS migration check. GitHub сканирование репозитория теперь может помечать Supabase SQL миграции, которые создают общедоступные таблицы без соответствующего оператора ALTER TABLE ... ENABLE ROW LEVEL SECURITY.
  • НОВОЕSupabase Storage posture check. Пассивное сканирование теперь позволяет проверять общедоступные Supabase сегменты хранилища и анонимные списки объектов наряду с существующими проверками RLS и ключей.
  • НОВОЕAI-generated code guardrail check. GitHub сканирования репозитория теперь могут отмечать отсутствие автоматизации безопасности при сканировании кода, секретном сканировании, обновлениях зависимостей и инструкциях AI-агента.

12 мая 2026 г.

  • НОВОЕRepo web-app risk checklist. GitHub сканирование репозитория теперь может выявлять риски кода с высокой степенью достоверности OWASP-style, такие как необработанная интерполяция SQL, небезопасные приемники HTML, подстановочный знак CORS, отключенная проверка TLS и слабые резервные секретные JWT.
  • НОВОЕNext.js middleware-bypass check. Активное сканирование проверенных доменов теперь может подтверждать воздействие CVE-2025-29927 на маршрутах, защищенных промежуточным программным обеспечением, прежде чем сообщать об этом, а отчеты включают стандартный запрос FixVibe AI на исправление.

9 мая 2026 г.

  • БЕЗОПАСНОСТЬCross-origin scope hardening. Активное сканирование и проверка активов клиента теперь остаются в пределах авторизованной целевой области и позволяют избежать переноса предоставленных клиентом учетных данных при перенаправлениях между источниками.
  • ИСПРАВЛЕНОSupabase RLS check is now strictly read-only. Supabase проверки положения теперь избегают попыток записи и фокусируются на сигналах безопасного воздействия. Активное тестирование проверенной области остается границей для более глубокого подтверждения.
  • УЛУЧШЕНОНаходки security headers применяются только к root HTML responses. Отсутствие CSP, Permissions-Policy, X-Frame-Options или Referrer-Policy на 204, JSON API, file download или 404 больше не создает finding. HSTS и X-Content-Type-Options по-прежнему оцениваются на всех responses.
  • УЛУЧШЕНОAuth-flow and rate-limit checks now require stronger evidence. FixVibe теперь сообщает об этих проблемах только тогда, когда поведение приложения явно подтверждает обнаружение, уменьшая шум от общих страниц ошибок и неподдерживаемых методов.
  • УЛУЧШЕНОFile-upload findings tier by exploitability evidence. Отчеты о загрузке файлов теперь отделяют сигналы принятия с низкой степенью достоверности от более убедительных доказательств рискованного поведения при обслуживании, что снижает чрезмерную серьезность для доброкачественных обработчиков загрузки.

7 мая 2026 г.

  • ИСПРАВЛЕНОThreat-intel listing accuracy improved. FixVibe теперь отличает реальные доказательства черного списка от диагностики преобразователя, поэтому данные об угрозах не переоценивают ответы поиска на стороне инфраструктуры.
  • НОВОЕGitHub repo scans. Подключи repo, и FixVibe проверит source на leaked Supabase service keys, Firebase admin tokens, рискованные workflow files и outdated dependencies — даже не загружая твой deployed site. См. Типы сканирования.
  • НОВОЕSAST checks для рискованного JavaScript. Repo scans теперь flag new Function() и setTimeout("string") — оба эквивалентны eval(), если получают untrusted input.
  • ИСПРАВЛЕНОЛожные findings «exposed file» на сайтах Vercel / Cloudflare. Голые responses 403 Forbidden больше не reported as «file exists» — большинство edge providers возвращают 403 для подозрительных paths независимо от того, есть ли там file. Теперь перед flagging мы требуем positive HTTP signal.
  • ИСПРАВЛЕНОRepo-code false positives reduced. Сканирование репозитория теперь позволяет избежать пометки условий безопасности в комментариях, документации, помощниках по тестированию и явно только в серверном контексте для нескольких проверок кода с высоким уровнем сигнала.
  • ИСПРАВЛЕНОSupabase anon key в localStorage больше не reported as JWT-in-storage finding — anon key является публично предназначенным client token. Настоящие service-role tokens в browser storage теперь critical с более ясным title.
  • ИСПРАВЛЕНОCSP weakness detection improved. Content-Security-Policy проверки теперь выявляют более либеральные политики источника, сохраняя при этом доказательства и исправления сосредоточенными на эффективной политике браузера.
  • ИСПРАВЛЕНОReflected-XSS check tightened. При активном сканировании теперь требуются более убедительные доказательства, прежде чем сообщать о рисках, связанных с контекстом исполняемого файла, что снижает количество ложных срабатываний из-за несвязанной разметки на странице.
  • ИСПРАВЛЕНОDomain verification корректно обрабатывает redirects apex ↔ www и яснее объясняет, какое value указывать в поле Host для TXT-record.

Формат

Каждая запись помечена тегом, чтобы ты мог быстро просматривать:

  • НОВОЕ Новая проверка, поверхность или функция.
  • УЛУЧШЕНО Существующее поведение стало лучше — точнее, быстрее, понятнее.
  • ИСПРАВЛЕНО Баг, который мы выпустили, а потом исправили.
  • БЕЗОПАСНОСТЬ Усиление защиты, исправления уязвимостей или изменения для compliance.

Заметил, что что-то сломалось и здесь не записано? Напиши на support@fixvibe.app.

Журнал изменений — Docs · FixVibe