Новости

Positive Technologies представила январский дайджест трендовых уязвимостей

Эксперты Positive Technologies отнесли к трендовым еще три уязвимости: в облачном сервисе Microsoft OneDrive, фреймворке для разработки пользовательских интерфейсов веб-приложений React, и в системе управления базами данных (СУБД) MongoDB.

Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.

Уязвимость, связанная с повышением привилегий, в драйвере облачного сервиса Microsoft OneDrive

PT-2025-50155 (CVE-2025-62221, CVSS — 7,8)

По данным The Verge, уязвимость потенциально может затрагивать около миллиарда устройств. Под угрозой находятся пользователи операционных систем Microsoft Windows, включая Windows 10 и 11, а также Windows Server 2019, 2022 и 2025. Microsoft отмечает случаи активной эксплуатации уязвимости в реальных атаках.

Успешное использование недостатка безопасности позволяет злоумышленнику с доступом к обычной учетной записи повысить привилегии до уровня SYSTEM. Таким образом он может установить полный контроль над уязвимой системой. В частности, атакующий может получить несанкционированный доступ к конфиденциальным данным, загрузить вредоносное ПО или нарушить работу системы.

Для того, чтобы защититься, пользователям необходимо установить обновления безопасности, которые представлены на официальном сайте Microsoft.
 

Уязвимость, приводящая к удаленному выполнению кода, в фреймворке React Server Components1

PT-2025-48817 (CVE-2025-55182, CVSS — 10)

Согласно The Shadowserver Foundation, в интернете было доступно более 90 000 уязвимых узлов. По оценкам CyberOK, в Рунете и соседних регионах потенциально могут быть уязвимы более 40 000 узлов. По данным GreyNoise, массовые атаки с использованием уязвимости фиксируются с 5 декабря 2025 года. Например, Microsoft сообщила об обнаружении нескольких сотен скомпрометированных узлов в организациях по всему миру. Используя уязвимость, злоумышленники устанавливали инструмент для удалённого управления устройствами Cobalt Strike, трояны удаленного доступа VShell и EtherRAT и т. д.
 

1 React Server Components (RSC) — механизм, который позволяет распределить рендеринг веб-страницы между клиентом и сервером для повышения производительности.

Уязвимость React2Shell затрагивает три пакета фреймворка React: react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack. Уязвимы и другие фреймворки, в которые интегрированы RSC2: Next.js, React Router, Expo, Redwood SDK, Waku и другие.

Эксплуатируя эту уязвимость, злоумышленник должен отправить специально сформированный HTTP-запрос3, что позволит удаленно выполнить произвольный код на сервере с правами процесса запущенного веб-приложения. Это может привести к утечке конфиденциальной информации или нарушению функционирования отдельных систем.

Для того, чтобы защититься, пользователям необходимо обновить уязвимые пакеты React до одной из исправленных версий (19.0.1, 19.1.2 или 19.2.1). Пользователям Next.js необходимо дополнительно обновить пакеты до исправленных версий (15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 или 16.0.7).

Уязвимость, приводящая к раскрытию данных, в библиотеке zlib

PT-2025-52440 (CVE-2025-14847, CVSS — 7,5)

Платформа Censys обнаружила около 87 000 потенциально уязвимых серверов MongoDB, из которых около 2000 находятся в России.

Уязвимость MongoBleed связана с некорректной обработкой параметра длины данных при использовании библиотеки zlib. Сервер MongoDB некорректно проверяет соответствие между заявленной длиной сжатых данных и их реальным размером. В результате он выделяет память под заявленный объем, но заполняет его только тем, что можно распаковать. В оставшейся памяти могут содержаться фрагменты ранее использованных данных (например, пароли, API-ключи и другие данные пользователей). Отправляя специально сформированные запросы на уязвимый сервер, злоумышленник без аутентификации может извлекать конфиденциальные данные.
 

2 Протокол RSC (React Server Components) — это механизм передачи данных в React, позволяющий рендерить часть компонентов на сервере, а часть на клиенте.
3 Запросы (HTTP Requests) — сообщения, которые отправляются клиентом на сервер, чтобы вызвать выполнение некоторых действий.

MongoBleed также затрагивает утилиту rsync4 в Ubuntu, поскольку она использует zlib.

Для того, чтобы защититься, пользователям необходимо установить обновления, доступные в версиях 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 и 4.4.30. Если это невозможно, разработчики рекомендуют отключить использование сжатия в zlib в серверных версиях MongoDB. Кроме того, следует ограничить доступ к серверу, разрешив подключение только с доверенных IP-адресов.

 

4 Rsync — утилита командной строки для эффективной синхронизации файлов и каталогов между двумя местоположениями (локальными или удалёнными).