По итогам анализа, проведенного экспертами Positive Technologies, мы представляем список уязвимостей, которые отнесли к трендовым. Это самые опасные недостатки безопасности, которые уже активно эксплуатируются злоумышленниками или могут быть использованы ими в ближайшее время. Кроме того, рекомендуем проверить, устранены ли в вашей компании те трендовые уязвимости, о которых мы писали в предыдущих дайджестах.
Всего в январе к трендовым были отнесены три уязвимости.
Уязвимость высокого уровня опасности PT-2025-50155 (CVE-2025-62221) была обнаружена в драйвере клиента облачного сервиса Microsoft OneDrive. Успешная эксплуатация уязвимости позволяет локальному аутентифицированному злоумышленнику получить привилегии уровня SYSTEM.
Мы обращаем особое внимание на критически опасную уязвимость PT-2025-48817 (CVE-2025-55182), также известную как React4Shell или React2Shell. Она обнаружена в опенсорсном фреймворке React1, и в случае успешной эксплуатации позволяет добиться удаленного выполнения кода на уязвимом веб-сервере.
Последняя уязвимость, PT-2025-52440 (CVE-2025-14847), получившая название MongoBleed, была обнаружена в системе управления базами данных (СУБД) MongoDB. Эксплуатация уязвимости удаленным неаутентифицированным злоумышленником может привести к утечке конфиденциальных данных.
Подробнее об этих уязвимостях, случаях их эксплуатации и способах устранения читайте в дайджесте.
1React (ReactJS) — JavaScript-библиотека, используемая для разработки пользовательских интерфейсов веб-приложений.
Уязвимость в продукте Microsoft
Уязвимость, связанная с повышением привилегий, в драйвере облачного сервиса Microsoft OneDrive
PT-2025-50155 (CVE-2025-62221), оценка по CVSS — 7,8, высокий уровень опасности
Уязвимость в драйвере мини-фильтра Windows Cloud Files (cldflt.sys) предустановленного клиента облачного сервиса Microsoft OneDrive связана с некорректным управлением памятью (CWE-416). Успешная эксплуатация уязвимости позволяет злоумышленнику с доступом к обычной учетной записи повысить привилегии до уровня SYSTEM. Это означает, что он может установить полный контроль над уязвимой системой. В частности, преступник может получить несанкционированный доступ к конфиденциальным данным, загрузить вредоносное ПО или нарушить работу системы.
Признаки эксплуатации: Microsoft отмечает случаи активной эксплуатации уязвимости в реальных атаках. Кроме того, CISA добавило CVE-2025-62221 в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: нет в открытом доступе.
Количество потенциальных жертв: по данным The Verge, уязвимость потенциально может затрагивать около миллиарда устройств. Под угрозой находятся пользователи операционных систем Microsoft Windows, включая Windows 10 и 11, а также Windows Server 2019, 2022 и 2025.
Способы устранения, компенсирующие меры: установить обновления безопасности, которые представлены на официальном сайте Microsoft.
Уязвимость во фреймворке React
Уязвимость, приводящая к удаленному выполнению кода, в React Server Components
PT-2025-48817 (CVE-2025-55182), оценка по CVSS — 10, критический уровень опасности
Уязвимость React2Shell возникает из-за небезопасной десериализации данных (CWE-502) в протоколе RSC2 Flight3. Во время передачи данных от клиента на сервер атакующий при определенных условиях может добиться выполнения произвольного кода без аутентификации. Эксплуатируя эту уязвимость, злоумышленник должен отправить специально сформированный HTTP-запрос, что позволит удаленно выполнить произвольный код на сервере с правами процесса запущенного веб-приложения. Это может привести к утечке конфиденциальной информации или нарушению функционирования отдельных систем.
React2Shell затрагивает три пакета React: react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack. Уязвимы и другие фреймворки, в которые интегрированы RSC: Next.js, React Router, Expo, Redwood SDK, Waku и другие.
Признаки эксплуатации: по данным GreyNoise, массовые атаки с использованием уязвимости фиксируются с 5 декабря. CISA также добавило CVE-2025-55182 в каталог известных эксплуатируемых уязвимостей. Кроме того, сообщается о множестве известных случаев использования React2Shell в реальных атаках:
- Исследователи из BIZONE зафиксировали случаи эксплуатации React2Shell в атаках на российские компании из сфер страхования, электронной коммерции и IT. Злоумышленники преимущественно развертывали майнер XMRig, а в отдельных случаях — ботнеты RustoBot и Kaiji, а также имплант Sliver.
- Microsoft сообщила об обнаружении нескольких сотен скомпрометированных узлов в организациях по всему миру. После эксплуатации React2Shell злоумышленники устанавливали Cobalt Strike, RMM-агент MeshAgent, трояны удаленного доступа VShell и EtherRAT, загрузчики вредоносного ПО SNOWLIGHT и ShadowPAD, майнер XMRig, а также инструменты TruffleHog и Gitleaks.
- Исследователи из S-RM зафиксировали атаку, в которой React2Shell использовалась для получения первоначального доступа к корпоративной сети с последующим развертыванием шифровальщика Weaxor.
- По данным CyberScoop, Palo Alto Networks выявила более 60 скомпрометированных организаций, в атаках на которые после эксплуатации React2Shell использовались те же инструменты, которые ранее упоминались в отчете Microsoft, а также бэкдоры KSwapDoor, Auto-Color и Noodle RAT.
Публично доступные эксплойты: опубликован PoC. Кроме того, в открытом доступе существует инструмент, позволяющий автоматизировать атаки на уязвимые серверы Next.js.
Количество потенциальных жертв: согласно The Shadowserver Foundation, по состоянию на 30 декабря в интернете было доступно более 90 000 уязвимых узлов. По оценкам CyberOK, в Рунете и соседних регионах потенциально могут быть уязвимы более 40 000 узлов. При этом в исследовании BIZONE говорится, что под ударом находятся от 10 000 до 25 000 веб-ресурсов, включая сервисы подрядчиков и сайты компаний малого бизнеса. Кроме того, по данным Wiz Research, 39% облачных сред остаются уязвимыми для React2Shell.
Способы устранения, компенсирующие меры: необходимо обновить уязвимые пакеты React до одной из исправленных версий (19.0.1, 19.1.2 или 19.2.1). Пользователям Next.js необходимо дополнительно обновить пакеты до исправленных версий (15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 или 16.0.7).
2React Server Components (RSC) — механизм, который позволяет распределить рендеринг веб-страницы между клиентом и сервером для повышения производительности.
3Flight — протокол, который используется в RSC для быстрой передачи информации между клиентом и сервером.
Уязвимость в СУБД MongoDB
Уязвимость, приводящая к раскрытию данных, в библиотеке zlib
PT-2025-52440 (CVE-2025-14847), оценка по CVSS — 7,5, высокий уровень опасности
Уязвимость MongoBleed связана с некорректной обработкой параметра длины данных (CWE-130) при использовании библиотеки zlib. Сервер MongoDB некорректно проверяет соответствие между заявленной длиной сжатых данных и их реальным размером. В результате он выделяет память под заявленный объем, но заполняет его только тем, что можно распаковать. Оставшаяся часть памяти оказывается неинициализированной: в ней могут содержаться фрагменты ранее использованных данных (например, пароли, API-ключи и другие данные пользователей). Отправляя специально сформированные запросы на уязвимый сервер, злоумышленник без аутентификации может извлекать конфиденциальные данные.
MongoBleed также затрагивает утилиту rsync в Ubuntu, поскольку она использует zlib.
Признаки эксплуатации: по данным Wiz, массовая эксплуатация MongoBleed была зафиксирована в реальных атаках. Агентство CISA также добавило CVE-2025-14847 в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: опубликован PoC. Кроме того, в открытом доступе существует инструмент для эксплуатации уязвимости MongoBleed.
Количество потенциальных жертв: по состоянию на 27 декабря платформа Censys обнаружила около 87 000 потенциально уязвимых серверов MongoDB, из которых около 2000 находятся в России. Wiz Research отмечает, что в 42% облачных сред есть как минимум один экземпляр MongoDB, уязвимый для CVE-2025-14847.
Способы устранения, компенсирующие меры: необходимо установить обновления , доступные в версиях 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 и 4.4.30. Если это невозможно, в качестве компенсирующей меры разработчики рекомендуют отключить использование сжатия zlib в серверных версиях MongoDB. Кроме того, следует ограничить доступ к серверу, разрешив подключение только с доверенных IP-адресов.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости наиболее опасны и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению и защитить инфраструктуру компании. Не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.