- 20,467
- 46
- 8 Ноя 2022
В популярном почтовом сервере нашли четыре критические уязвимости.
Специалисты Positive Technologies сообщили о выявлении четырех опасных уязвимостей в популярном почтовом сервере. Недостатки обнаружил эксперт центра PT ESC Максим Суслов. Производитель был своевременно уведомлен и уже выпустил исправления в рамках политики ответственного раскрытия.
Проблемы затрагивали версию 6.5.1 и более ранние сборки. По словам исследователей, эксплуатация уязвимостей могла привести к утечкам конфиденциальных данных, рассылке фишинговых писем от имени пользователей и даже полному захвату управления сервером.
Самая критическая ошибка получила идентификаторы PT-2025-21649 / BDU:2025-02495 . Ей присвоена оценка 9,3 балла по шкале CVSS 4.0. Уязвимость позволяла выполнить произвольный код и получить полный контроль над системой.
Еще две проблемы — PT-2025-20235 / BDU:2025-01798 и PT-2025-30037 / BDU:2025-08669 — получили по 8,7 балла. Они относились к классу SSRF и были связаны с некорректной проверкой прав доступа. Эксплуатация давала возможность подделывать внутренние запросы и рассылать сообщения от чужого имени.
Четвертая уязвимость — PT-2025-20237 / BDU:2025-01820 — оценивается в 6,9 балла. Она открывала доступ к произвольным файлам сервера, включая переписку пользователей.
«До установки обновлений эти уязвимости могли привести к масштабным инцидентам — от фишинговых атак до компрометации всей корпоративной инфраструктуры», — пояснил Максим Суслов.
Разработчик подтвердил, что проблемы касались устаревших модулей, созданных более пяти лет назад, и отметил, что все они устранены в течение двух недель после уведомления.
Компания рекомендует обновить серверное ПО как минимум до версии 6.5.1hotfix1. Если обновление недоступно, временной мерой защиты станет ограничение доступа из недоверенных сетей.
Информация обо всех уязвимостях доступна на портале dbugs.ptsecurity.com , где публикуются технические детали и рекомендации по устранению.
Positive Technologies также напомнила, что в 2025 году при участии ее специалистов были исправлены ошибки в других отечественных решениях для коммуникаций и видеосвязи, включая сервисы Яндекс Телемост, VINTEO и TrueConf Server.
Эксперты подчеркивают: такие случаи демонстрируют важность независимого аудита кода и тесного взаимодействия производителей с исследователями, позволяющего быстро устранять критические пробелы в безопасности.
Специалисты Positive Technologies сообщили о выявлении четырех опасных уязвимостей в популярном почтовом сервере. Недостатки обнаружил эксперт центра PT ESC Максим Суслов. Производитель был своевременно уведомлен и уже выпустил исправления в рамках политики ответственного раскрытия.
Проблемы затрагивали версию 6.5.1 и более ранние сборки. По словам исследователей, эксплуатация уязвимостей могла привести к утечкам конфиденциальных данных, рассылке фишинговых писем от имени пользователей и даже полному захвату управления сервером.
Самая критическая ошибка получила идентификаторы PT-2025-21649 / BDU:2025-02495 . Ей присвоена оценка 9,3 балла по шкале CVSS 4.0. Уязвимость позволяла выполнить произвольный код и получить полный контроль над системой.
Еще две проблемы — PT-2025-20235 / BDU:2025-01798 и PT-2025-30037 / BDU:2025-08669 — получили по 8,7 балла. Они относились к классу SSRF и были связаны с некорректной проверкой прав доступа. Эксплуатация давала возможность подделывать внутренние запросы и рассылать сообщения от чужого имени.
Четвертая уязвимость — PT-2025-20237 / BDU:2025-01820 — оценивается в 6,9 балла. Она открывала доступ к произвольным файлам сервера, включая переписку пользователей.
«До установки обновлений эти уязвимости могли привести к масштабным инцидентам — от фишинговых атак до компрометации всей корпоративной инфраструктуры», — пояснил Максим Суслов.
Разработчик подтвердил, что проблемы касались устаревших модулей, созданных более пяти лет назад, и отметил, что все они устранены в течение двух недель после уведомления.
Компания рекомендует обновить серверное ПО как минимум до версии 6.5.1hotfix1. Если обновление недоступно, временной мерой защиты станет ограничение доступа из недоверенных сетей.
Информация обо всех уязвимостях доступна на портале dbugs.ptsecurity.com , где публикуются технические детали и рекомендации по устранению.
Positive Technologies также напомнила, что в 2025 году при участии ее специалистов были исправлены ошибки в других отечественных решениях для коммуникаций и видеосвязи, включая сервисы Яндекс Телемост, VINTEO и TrueConf Server.
Эксперты подчеркивают: такие случаи демонстрируют важность независимого аудита кода и тесного взаимодействия производителей с исследователями, позволяющего быстро устранять критические пробелы в безопасности.
- Источник новости
- www.securitylab.ru
