- 22,537
- 46
- 8 Ноя 2022
Вредоносный скрипт может лишить доступа к аккаунтам в КУБ24.
Эксперт компании «СайберОК» Роберт Торосян обнаружил 0-day уязвимости в КУБ24 – облачном онлайн-сервисе для автоматизации финансовых и управленческих задач в бизнесе. По информации вендора, этот сервис используют более 120 тысяч предпринимателей.
Уязвимости связаны с непринятием мер по защите структуры веб-страницы (CWE-79). Данные уязвимости позволяют выполнить вредоносный JavaScript в контексте браузера жертвы, что может привести к краже сессионных куки или выполнению действий от имени пользователя.
Уязвимостям присвоены идентификаторы СОК-2025-09-02 / BDU:2025-11155 ( bdu.fstec.ru/vul/2025-11155 ) и СОК-2025-09-03 / BDU:2025-11156 ( bdu.fstec.ru/vul/2025-11156 ), их базовая оценка по шкале CVSS 3.1 составляет 8,5 балла (вектор CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N), что соответствует высокому уровню опасности.
КУБ24 включен в реестр отечественного программного обеспечения Минцифры , пользователям сервиса рекомендуется обновить ПО до актуальной версии. Дополнительная информация об уязвимостях опубликована в уведомлении БДУ ФСТЭК .
Эксперт компании «СайберОК» Роберт Торосян обнаружил 0-day уязвимости в КУБ24 – облачном онлайн-сервисе для автоматизации финансовых и управленческих задач в бизнесе. По информации вендора, этот сервис используют более 120 тысяч предпринимателей.
Уязвимости связаны с непринятием мер по защите структуры веб-страницы (CWE-79). Данные уязвимости позволяют выполнить вредоносный JavaScript в контексте браузера жертвы, что может привести к краже сессионных куки или выполнению действий от имени пользователя.
Уязвимостям присвоены идентификаторы СОК-2025-09-02 / BDU:2025-11155 ( bdu.fstec.ru/vul/2025-11155 ) и СОК-2025-09-03 / BDU:2025-11156 ( bdu.fstec.ru/vul/2025-11156 ), их базовая оценка по шкале CVSS 3.1 составляет 8,5 балла (вектор CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N), что соответствует высокому уровню опасности.
КУБ24 включен в реестр отечественного программного обеспечения Минцифры , пользователям сервиса рекомендуется обновить ПО до актуальной версии. Дополнительная информация об уязвимостях опубликована в уведомлении БДУ ФСТЭК .
- Источник новости
- www.securitylab.ru
