- 24,207
- 46
- 8 Ноя 2022
Positive Technologies представила январский дайджест трендовых уязвимостей.
Специалисты компании Positive Technologies отнесли к трендовым еще три уязвимости. Под угрозой оказались пользователи облачного хранилища Microsoft OneDrive, популярного фреймворка React и системы управления базами данных MongoDB.
Первая уязвимость обнаружена в драйвере облачного сервиса Microsoft OneDrive ( PT-2025-50155 , CVE-2025-62221 , CVSS — 7,8). Согласно данным , уязвимость потенциально может затрагивать около миллиарда устройств. Под угрозой находятся пользователи операционных систем Microsoft Windows, включая Windows 10 и 11, а также Windows Server 2019, 2022 и 2025. Microsoft отмечает случаи активной эксплуатации уязвимости в реальных атаках. Успешное использование недостатка безопасности позволяет злоумышленнику с доступом к обычной учетной записи повысить привилегии до уровня SYSTEM. Таким образом он может установить полный контроль над уязвимой системой. В частности, атакующий может получить несанкционированный доступ к конфиденциальным данным, загрузить вредоносное программное обеспечение или нарушить работу системы. Для защиты необходимо установить обновления безопасности, которые представлены на официальном сайте Microsoft .
Вторая уязвимость, получившая название React2Shell ( PT-2025-48817 , CVE-2025-55182 , CVSS — 10), затронула фреймворк React Server Components. Согласно The Shadowserver Foundation , в интернете было доступно более 90 тысяч уязвимых узлов. По оценкам CyberOK , в Рунете и соседних регионах потенциально могут быть уязвимы более 40 тысяч узлов. По данным GreyNoise , массовые атаки с использованием уязвимости фиксируются с 5 декабря 2025 года. Например, Microsoft сообщила об обнаружении нескольких сотен скомпрометированных узлов в организациях по всему миру. Используя уязвимость, злоумышленники устанавливали инструмент для удаленного управления устройствами Cobalt Strike, трояны удаленного доступа VShell и EtherRAT и другие вредоносные программы. Уязвимость затрагивает три пакета фреймворка React: react-server-dom-webpack , react-server-dom-parcel и react-server-dom-turbopack . Уязвимы и другие фреймворки, в которые интегрированы React Server Components: Next.js, React Router, Expo, Redwood SDK, Waku и другие. Эксплуатируя эту уязвимость, злоумышленник может отправить специально сформированный HTTP-запрос, что позволит удаленно выполнить произвольный код на сервере с правами процесса запущенного веб-приложения. Это может привести к утечке конфиденциальной информации или нарушению функционирования отдельных систем. Для защиты пользователям необходимо обновить уязвимые пакеты React до одной из исправленных версий ( 19.0.1 , 19.1.2 или 19.2.1 ). Пользователям Next.js необходимо дополнительно обновить пакеты до исправленных версий (15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 или 16.0.7).
Третья уязвимость, MongoBleed ( PT-2025-52440 , CVE-2025-14847 , CVSS — 7,5), обнаружена в библиотеке zlib, которую использует MongoDB. Платформа Censys обнаружила около 87 тысяч потенциально уязвимых серверов MongoDB, из которых около двух тысяч находятся в России. Уязвимость связана с некорректной обработкой параметра длины данных при использовании библиотеки zlib. Сервер MongoDB некорректно проверяет соответствие между заявленной длиной сжатых данных и их реальным размером. В результате он выделяет память под заявленный объем, но заполняет его только тем, что можно распаковать. В оставшейся памяти могут содержаться фрагменты ранее использованных данных, например пароли, API-ключи и другие данные пользователей. Отправляя специально сформированные запросы на уязвимый сервер, злоумышленник без аутентификации может извлекать конфиденциальные данные. MongoBleed также затрагивает утилиту rsync в Ubuntu, поскольку она использует zlib. Для защиты пользователям необходимо установить обновления , доступные в версиях 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 и 4.4.30. Если это невозможно, разработчики рекомендуют отключить использование сжатия в zlib в серверных версиях MongoDB. Кроме того, следует ограничить доступ к серверу, разрешив подключение только с доверенных IP-адресов.
Специалисты компании Positive Technologies отнесли к трендовым еще три уязвимости. Под угрозой оказались пользователи облачного хранилища Microsoft OneDrive, популярного фреймворка React и системы управления базами данных MongoDB.
Первая уязвимость обнаружена в драйвере облачного сервиса Microsoft OneDrive ( PT-2025-50155 , CVE-2025-62221 , CVSS — 7,8). Согласно данным , уязвимость потенциально может затрагивать около миллиарда устройств. Под угрозой находятся пользователи операционных систем Microsoft Windows, включая Windows 10 и 11, а также Windows Server 2019, 2022 и 2025. Microsoft отмечает случаи активной эксплуатации уязвимости в реальных атаках. Успешное использование недостатка безопасности позволяет злоумышленнику с доступом к обычной учетной записи повысить привилегии до уровня SYSTEM. Таким образом он может установить полный контроль над уязвимой системой. В частности, атакующий может получить несанкционированный доступ к конфиденциальным данным, загрузить вредоносное программное обеспечение или нарушить работу системы. Для защиты необходимо установить обновления безопасности, которые представлены на официальном сайте Microsoft .
Вторая уязвимость, получившая название React2Shell ( PT-2025-48817 , CVE-2025-55182 , CVSS — 10), затронула фреймворк React Server Components. Согласно The Shadowserver Foundation , в интернете было доступно более 90 тысяч уязвимых узлов. По оценкам CyberOK , в Рунете и соседних регионах потенциально могут быть уязвимы более 40 тысяч узлов. По данным GreyNoise , массовые атаки с использованием уязвимости фиксируются с 5 декабря 2025 года. Например, Microsoft сообщила об обнаружении нескольких сотен скомпрометированных узлов в организациях по всему миру. Используя уязвимость, злоумышленники устанавливали инструмент для удаленного управления устройствами Cobalt Strike, трояны удаленного доступа VShell и EtherRAT и другие вредоносные программы. Уязвимость затрагивает три пакета фреймворка React: react-server-dom-webpack , react-server-dom-parcel и react-server-dom-turbopack . Уязвимы и другие фреймворки, в которые интегрированы React Server Components: Next.js, React Router, Expo, Redwood SDK, Waku и другие. Эксплуатируя эту уязвимость, злоумышленник может отправить специально сформированный HTTP-запрос, что позволит удаленно выполнить произвольный код на сервере с правами процесса запущенного веб-приложения. Это может привести к утечке конфиденциальной информации или нарушению функционирования отдельных систем. Для защиты пользователям необходимо обновить уязвимые пакеты React до одной из исправленных версий ( 19.0.1 , 19.1.2 или 19.2.1 ). Пользователям Next.js необходимо дополнительно обновить пакеты до исправленных версий (15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 или 16.0.7).
Третья уязвимость, MongoBleed ( PT-2025-52440 , CVE-2025-14847 , CVSS — 7,5), обнаружена в библиотеке zlib, которую использует MongoDB. Платформа Censys обнаружила около 87 тысяч потенциально уязвимых серверов MongoDB, из которых около двух тысяч находятся в России. Уязвимость связана с некорректной обработкой параметра длины данных при использовании библиотеки zlib. Сервер MongoDB некорректно проверяет соответствие между заявленной длиной сжатых данных и их реальным размером. В результате он выделяет память под заявленный объем, но заполняет его только тем, что можно распаковать. В оставшейся памяти могут содержаться фрагменты ранее использованных данных, например пароли, API-ключи и другие данные пользователей. Отправляя специально сформированные запросы на уязвимый сервер, злоумышленник без аутентификации может извлекать конфиденциальные данные. MongoBleed также затрагивает утилиту rsync в Ubuntu, поскольку она использует zlib. Для защиты пользователям необходимо установить обновления , доступные в версиях 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 и 4.4.30. Если это невозможно, разработчики рекомендуют отключить использование сжатия в zlib в серверных версиях MongoDB. Кроме того, следует ограничить доступ к серверу, разрешив подключение только с доверенных IP-адресов.
- Источник новости
- www.securitylab.ru
