🩹 «А был ли патчик? Или как долго живут уязвимости в Рунете» — доклад на PHDays
На протяжении года мы исследовали как быстро (или не очень) устраняются уязвимости в Рунете. В докладе Максима Пушкина — живые цифры по среднему «времени жизни» уязвимостей и выводы о том, какие категории ПО остаются наиболее уязвимыми.
Спойлер: даже актуальное, активно используемое ПО, может месяцами оставаться без обновлений (а уязвимости в нем будут цвести и пахнуть) .
✔️ Зависит ли среднее время жизни уязвимости от того, опенсорсный продукт или нет?
✔️ Сколько нужно дней, чтобы обновить почтовый сервер?
✔️ Как активно обновляется GitLab?
Ответы на эти вопросы будут даны в ходе доклада. Приходите — расскажем, что на самом деле происходит с патчами.
🗓 23 мая
🕐 13:15
📍 Зал 16 «Эдисон»
На протяжении года мы исследовали как быстро (или не очень) устраняются уязвимости в Рунете. В докладе Максима Пушкина — живые цифры по среднему «времени жизни» уязвимостей и выводы о том, какие категории ПО остаются наиболее уязвимыми.
Спойлер: даже актуальное, активно используемое ПО, может месяцами оставаться без обновлений
✔️ Зависит ли среднее время жизни уязвимости от того, опенсорсный продукт или нет?
✔️ Сколько нужно дней, чтобы обновить почтовый сервер?
✔️ Как активно обновляется GitLab?
Ответы на эти вопросы будут даны в ходе доклада. Приходите — расскажем, что на самом деле происходит с патчами.
🗓 23 мая
🕐 13:15
📍 Зал 16 «Эдисон»
🔮 «Предсказуемывай это! Анализируем интернет быстро, качественно, дешево» — доклад на PHDays
В своем докладе Сергей Гордейчик и Александр Рудаков поделятся с какими проблемами столкнулась компания CyberOK в ходе решения задач по сканированию больших сетевых пространств.
О чем доклад:
✔️ Как отсканировать рунеты за один день с одной машины без регистрации и смс.
✔️ Почему мы реализуем свои собственные инструменты для сканирования.
✔️ Как в 50 раз ускорить задачу детекта программного обеспечения.
✔️ Как собирать странички с веб-серверов и не потратить бюджет маленькой страны на дисковые хранилища.
✔️ Как использовать результаты сканирования для процедур рекона организаций.
Сканируй с нами, сканируй как мы, сканируй лучше нас! Приходи на доклад!
https://vk.com/video-28022322_456241524
🗓 24 мая
🕐 13:00
📍 Зал 24 «Шеннон»
В своем докладе Сергей Гордейчик и Александр Рудаков поделятся с какими проблемами столкнулась компания CyberOK в ходе решения задач по сканированию больших сетевых пространств.
О чем доклад:
✔️ Как отсканировать рунеты за один день с одной машины без регистрации и смс.
✔️ Почему мы реализуем свои собственные инструменты для сканирования.
✔️ Как в 50 раз ускорить задачу детекта программного обеспечения.
✔️ Как собирать странички с веб-серверов и не потратить бюджет маленькой страны на дисковые хранилища.
✔️ Как использовать результаты сканирования для процедур рекона организаций.
Сканируй с нами, сканируй как мы, сканируй лучше нас! Приходи на доклад!
https://vk.com/video-28022322_456241524
🗓 24 мая
🕐 13:00
📍 Зал 24 «Шеннон»
🔥8
Спешим поделиться итогами участия CyberOK в международном киберфестивале PHDays!
🎤 Наши эксперты выступили с тремя докладами — делились опытом, свежими находками и практическими подходами.
Смотрите записи и листайте презентации:
✔️ Опыт участия в создании индекса киберустойчивости
✔️ А был ли патчик? Или как долго живут уязвимости в Рунете
✔️ Предсказуемывай это! Анализируем интернет быстро, качественно, дешево
🔥 А ещё…
эксперты СайберОК приняли участие в кибербитве Standoff 15 в составе команды Dataeli&only_f4st и вошли в первую тройку, разделив с другими игроками призовой фонд в $50 000. Гордимся.
До скорых встреч на следующих фестивалях!
#СайберОК #СКИПА #cyberok #PHDays #PHDaysFest #PHDays2025 #PHD2025
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡11
⚠️ Критическая уязвимость в Yii 2 Framework (CVE-2024-58136)
В апреле 2025 года в популярном PHP-фреймворке Yii 2 была раскрыта критическая уязвимость CVE-2024-58136 с базовым баллом CVSS 9.0, активно используемая в реальных атаках начиная с февраля 2025 года.
Уязвимость представляет собой регрессию ранее исправленной CVE-2024-4990 и затрагивает механизм прикрепления поведений (behaviors) к компонентам через обработку class array key.
Проблема возникает в магическом методе set() класса yii\base\Component при обработке свойств, начинающихся с префикса "as ". Злоумышленник может обойти патч CVE-2024-4990, добавив свойство "class" с ссылкой на легитимный Behavior класс, что позволяет инстанцировать произвольные объекты и достичь удаленного выполнения кода (RCE).
🎯 Условия эксплуатации:
• Приложение должно принимать пользовательский ввод в формате JSON.
• Наличие эндпоинтов, обрабатывающих параметры с префиксом "as ".
• Доступность классов для инстанцирования в контексте приложения.
💥 Активная эксплуатация:
Уязвимость активно эксплуатируется в реальных атаках с февраля 2025 года, особенно в связке с CVE-2025-32432 для компрометации CraftCMS-инсталляций, о чем ранее сообщали специалисты СайберОК.
‼️ Рекомендации:
• Немедленно обновите Yii 2 до версии 2.0.52 или более поздней.
• Проверьте логи приложения на подозрительные запросы с параметрами "as ".
• Реализуйте дополнительную валидацию входных данных JSON.
• Ограничьте доступные для инстанцирования классы в конфигурации приложения
• Рассмотрите временное отключение динамического прикрепления поведений.
🔎 Фреймворк Yii 2 широко используется в корпоративных веб-приложениях. В подтверждение этому, на просторах Рунета СКИПА фиксирует около 5 тысяч уникальных инсталляций этого ПО.
Несмотря на то, что потенциально уязвимые версии ПО обнаружены на 45% хостов, в связи с дополнительными условиями, которые необходимы для успешной эксплуатации, мы оцениваем, что реально уязвимых сервисов существенно меньше.
В апреле 2025 года в популярном PHP-фреймворке Yii 2 была раскрыта критическая уязвимость CVE-2024-58136 с базовым баллом CVSS 9.0, активно используемая в реальных атаках начиная с февраля 2025 года.
Уязвимость представляет собой регрессию ранее исправленной CVE-2024-4990 и затрагивает механизм прикрепления поведений (behaviors) к компонентам через обработку class array key.
Проблема возникает в магическом методе set() класса yii\base\Component при обработке свойств, начинающихся с префикса "as ". Злоумышленник может обойти патч CVE-2024-4990, добавив свойство "class" с ссылкой на легитимный Behavior класс, что позволяет инстанцировать произвольные объекты и достичь удаленного выполнения кода (RCE).
🎯 Условия эксплуатации:
• Приложение должно принимать пользовательский ввод в формате JSON.
• Наличие эндпоинтов, обрабатывающих параметры с префиксом "as ".
• Доступность классов для инстанцирования в контексте приложения.
💥 Активная эксплуатация:
Уязвимость активно эксплуатируется в реальных атаках с февраля 2025 года, особенно в связке с CVE-2025-32432 для компрометации CraftCMS-инсталляций, о чем ранее сообщали специалисты СайберОК.
‼️ Рекомендации:
• Немедленно обновите Yii 2 до версии 2.0.52 или более поздней.
• Проверьте логи приложения на подозрительные запросы с параметрами "as ".
• Реализуйте дополнительную валидацию входных данных JSON.
• Ограничьте доступные для инстанцирования классы в конфигурации приложения
• Рассмотрите временное отключение динамического прикрепления поведений.
🔎 Фреймворк Yii 2 широко используется в корпоративных веб-приложениях. В подтверждение этому, на просторах Рунета СКИПА фиксирует около 5 тысяч уникальных инсталляций этого ПО.
Несмотря на то, что потенциально уязвимые версии ПО обнаружены на 45% хостов, в связи с дополнительными условиями, которые необходимы для успешной эксплуатации, мы оцениваем, что реально уязвимых сервисов существенно меньше.
Telegram
CyberOK_news
🚨 Важное предупреждение: массовые атаки на сайты CraftCMS
Эксперты СайберОК зафиксировали масштабную кибератаку с использованием критических уязвимостей CVE-2024-58136 (CVSS: 9,0) и CVE-2025-32432 (CVSS: 10,0) в системе управления контентом CraftCMS. Эти…
Эксперты СайберОК зафиксировали масштабную кибератаку с использованием критических уязвимостей CVE-2024-58136 (CVSS: 9,0) и CVE-2025-32432 (CVSS: 10,0) в системе управления контентом CraftCMS. Эти…
‼️ Критическая уязвимость в Roundcube Webmail (CVE-2025-49113)
В популярной веб-почте Roundcube Webmail обнаружена критическая уязвимость CVE-2025-49113 с базовым баллом CVSS 9.9 из 10.0.
Эксплуатация уязвимости тривиальна, и мы уверены, что боевой эксплойт не заставит себя долго ждать.
На радарах СКИПА мы наблюдаем более 78 тысяч уникальных инсталляций с Roundcube Webmail на просторах Рунета, из которых около 85% оказались потенциально уязвимыми к CVE-2025-49113.
Уязвимость позволяет аутентифицированным пользователям выполнять произвольный код через PHP Object Deserialization.
Проблема заключается в отсутствии валидации параметра
🎯 Затронутые версии:
• Все версии Roundcube Webmail до 1.5.10
• Версии 1.6.x до 1.6.11
💥 Особенности уязвимости:
Уязвимость была обнаружена исследователем Kirill Firsov из компании FearsOff, которая планирует опубликовать технические детали и proof-of-concept после предоставления пользователям достаточного времени для применения патчей.
Несмотря на то, что для эксплуатации требуется аутентификация, критический CVSS-балл обусловлен возможностью полной компрометации системы при успешной атаке.
‼️ Рекомендации:
• Немедленно обновите Roundcube Webmail до версий 1.6.11 или 1.5.10 LTS
• Проверьте логи веб-сервера на подозрительные запросы к
• Ограничьте права загрузки файлов только доверенным пользователям
• Рассмотрите возможность временного отключения функций загрузки до обновления
• Проведите аудит всех установленных плагинов и расширений Roundcube
🔎 Roundcube Webmail широко используется хостинг-провайдерами и корпоративными инфраструктурами для предоставления веб-интерфейса электронной почты.
В популярной веб-почте Roundcube Webmail обнаружена критическая уязвимость CVE-2025-49113 с базовым баллом CVSS 9.9 из 10.0.
Эксплуатация уязвимости тривиальна, и мы уверены, что боевой эксплойт не заставит себя долго ждать.
На радарах СКИПА мы наблюдаем более 78 тысяч уникальных инсталляций с Roundcube Webmail на просторах Рунета, из которых около 85% оказались потенциально уязвимыми к CVE-2025-49113.
Уязвимость позволяет аутентифицированным пользователям выполнять произвольный код через PHP Object Deserialization.
Проблема заключается в отсутствии валидации параметра
_from в URL-адресах, что происходит в файле program/actions/settings/upload.php. Это приводит к небезопасной десериализации PHP-объектов, позволяя злоумышленникам с действующими учетными данными выполнять удаленный код на сервере.🎯 Затронутые версии:
• Все версии Roundcube Webmail до 1.5.10
• Версии 1.6.x до 1.6.11
💥 Особенности уязвимости:
Уязвимость была обнаружена исследователем Kirill Firsov из компании FearsOff, которая планирует опубликовать технические детали и proof-of-concept после предоставления пользователям достаточного времени для применения патчей.
Несмотря на то, что для эксплуатации требуется аутентификация, критический CVSS-балл обусловлен возможностью полной компрометации системы при успешной атаке.
‼️ Рекомендации:
• Немедленно обновите Roundcube Webmail до версий 1.6.11 или 1.5.10 LTS
• Проверьте логи веб-сервера на подозрительные запросы к
/program/actions/settings/upload.php• Ограничьте права загрузки файлов только доверенным пользователям
• Рассмотрите возможность временного отключения функций загрузки до обновления
• Проведите аудит всех установленных плагинов и расширений Roundcube
🔎 Roundcube Webmail широко используется хостинг-провайдерами и корпоративными инфраструктурами для предоставления веб-интерфейса электронной почты.
🔥9
‼️ Уязвимость в SCADA-системе Пульт.онлайн — BDU:2025-01130
🔎 Исследователь СайберОК обнаружил 0-day уязвимость в SCADA-системе Пульт онлайн.
⚙️ Уязвимость связана с недостаточным ограничением попыток аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, реализовать атаку методом брутфорса.
📡 Несмотря на то, что SCADA-системы по своей природе не должны торчать в Интернет, мы регулярно встречаем компоненты АСУ ТП при сканировании — включая Пульт онлайн.
🎯 Затронутые версии: все до 3230
✅ Исправлено в версии: 3230 и выше
ℹ️ Уязвимости присвоен идентификатор:
• BDU:2025-01130
‼️ Рекомендации:
• Немедленно обновить систему до версии 3230.
🔎 Исследователь СайберОК обнаружил 0-day уязвимость в SCADA-системе Пульт онлайн.
⚙️ Уязвимость связана с недостаточным ограничением попыток аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, реализовать атаку методом брутфорса.
📡 Несмотря на то, что SCADA-системы по своей природе не должны торчать в Интернет, мы регулярно встречаем компоненты АСУ ТП при сканировании — включая Пульт онлайн.
🎯 Затронутые версии: все до 3230
✅ Исправлено в версии: 3230 и выше
ℹ️ Уязвимости присвоен идентификатор:
• BDU:2025-01130
‼️ Рекомендации:
• Немедленно обновить систему до версии 3230.
🔥7👍4
🚨 0-day уязвимость в Apache Pinot — BDU:2025-04466
Исследователь СайберОК, Станислав Савченко, выявил 0-day уязвимость в OLAP-хранилище Apache Pinot (версии до 1.2.0). Уязвимость связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию путем отправки специально сформированного GET-запроса.
⛔️ Уязвимость подтверждена производителем и устранена в версии 1.2.0. Существует эксплойт.
• Класс: CWE-22 (Path Traversal)
• CVSS 3.1: 8.6 | CVSS 2.0: 7.8 — высокий уровень опасности
📊 В российском сегменте мы видим несколько активных уязвимых сервисов. В глобальном Интернет СКИПА отслеживает более 700 экземпляров ПО, всё ещё доступных из внешней сети.
💡 Рекомендуется обновление до версии Apache Pinot 1.2.0. В качестве временной меры — ограничить доступ к системе извне и использовать WAF.
Полезные ссылки
🔗 https://github.com/apache/pinot/pull/13124
🔗 https://github.com/apache/pinot/releases/tag/release-1.2.0
Исследователь СайберОК, Станислав Савченко, выявил 0-day уязвимость в OLAP-хранилище Apache Pinot (версии до 1.2.0). Уязвимость связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию путем отправки специально сформированного GET-запроса.
⛔️ Уязвимость подтверждена производителем и устранена в версии 1.2.0. Существует эксплойт.
• Класс: CWE-22 (Path Traversal)
• CVSS 3.1: 8.6 | CVSS 2.0: 7.8 — высокий уровень опасности
📊 В российском сегменте мы видим несколько активных уязвимых сервисов. В глобальном Интернет СКИПА отслеживает более 700 экземпляров ПО, всё ещё доступных из внешней сети.
💡 Рекомендуется обновление до версии Apache Pinot 1.2.0. В качестве временной меры — ограничить доступ к системе извне и использовать WAF.
Полезные ссылки
🔗 https://github.com/apache/pinot/pull/13124
🔗 https://github.com/apache/pinot/releases/tag/release-1.2.0
GitHub
Add a safe version of `CLStaticHttpHandler` that disallows path traversal. by mayankshriv · Pull Request #13124 · apache/pinot
Added a safe version of CLStaticHttpHandler that disallows path traversal exploits.
This is now being used for swaggerui-dist.
This is now being used for swaggerui-dist.
🔥8😱6
📝 Опыт участия в проекте «Киберустойчивый регион»
Как измерить защищенность целого региона?
Рассказали в новой статье о том, как компания СайберОК принимала участие в проекте «Киберустойчивый регион», запущенный на масштабах целого региона РФ.
Читать на Хабре 👈
Как измерить защищенность целого региона?
Рассказали в новой статье о том, как компания СайберОК принимала участие в проекте «Киберустойчивый регион», запущенный на масштабах целого региона РФ.
Читать на Хабре 👈
🔥11⚡4
🚨 Уязвимость в HostCMS — COK-2025-04-03
⚠️ Исследователь СайберОК — Алексей Седой — обнаружил XSS-уязвимость в Типографе текста HostCMS. Для проведения атаки требуются активные действия пользователя — однако, XSS можно эскалировать до RCE, внедрив вредоносный код в шаблон системы.
⚙️ На радарах СКИПА мы видим около 11 000 живых сервисов в РУ сегменте, 98% из которых могут быть подвержены уязвимости.
• CVSS 3.1: 1.1 (/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:N/A:N) — низкий уровень опасности.
• Уязвимы все версии, включая 7.1.0 и ниже, где присутствует модуль Типограф.
• Идентификатор CyberOK: COK-2025-04-03
🛡 Вендор выпустил исправление без официального уведомления и CVE — уязвимость была устранена в коммите.
⚠️ Исследователь СайберОК — Алексей Седой — обнаружил XSS-уязвимость в Типографе текста HostCMS. Для проведения атаки требуются активные действия пользователя — однако, XSS можно эскалировать до RCE, внедрив вредоносный код в шаблон системы.
⚙️ На радарах СКИПА мы видим около 11 000 живых сервисов в РУ сегменте, 98% из которых могут быть подвержены уязвимости.
• CVSS 3.1: 1.1 (/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:N/A:N) — низкий уровень опасности.
• Уязвимы все версии, включая 7.1.0 и ниже, где присутствует модуль Типограф.
• Идентификатор CyberOK: COK-2025-04-03
🛡 Вендор выпустил исправление без официального уведомления и CVE — уязвимость была устранена в коммите.
GitHub
Merge pull request #25 from HostCMS/7.1.4 · HostCMS/hostcms.free@61ee959
2025-05-12
🔥9
⚠️ Уязвимость в плагине Forminator для WordPress (CVE‑2025‑6463)
В июне 2025 года в популярном плагине Forminator Forms – Contact Form, Payment Form & Custom Form Builder обнаружена уязвимость CVE‑2025‑6463 с базовым баллом CVSS 8.8 (HIGH).
🔎 На радарах СКИПА мы наблюдаем более 8 тысяч уникальных инсталляций WordPress с Forminator на просторах Рунета, потенциально уязвимых к CVE‑2025‑6463.
Пользователи CyberOK СКИПА PentOps были своевременно уведомлены.
Проблема позволяет без авторизации удалять произвольные файлы на сервере, включая критические конфигурационные файлы WordPress, что может привести к удаленному выполнению кода (RCE).
Уязвимость кроется в функции entry_delete_upload_files. При удалении заявки плагин принимает на вход путь к файлу из параметров формы и без проверок удаляет указанный файл. Злоумышленник может передать путь к wp-config.php или любому другому ресурсу и вывести сайт из строя или перехватить управление.
🎯 Условия эксплуатации:
• Любой посетитель может отправить запрос на удаление формы с параметром пути к файлу.
• Процесс удаления срабатывает как вручную, так и через встроенные антиспам‑механизмы.
• Отсутствие валидации и ограничения каталога удаления.
💥 Активная эксплуатация по всему миру:
• Плагин установлен на более чем 600 000 сайтов WordPress по всему миру.
• По оценкам экспертов, из них около 400 000 ресурсов потенциально под угрозой.
• Фиксируются кейсы массового удаления wp-config.php и последующего захвата сайта.
‼️ Рекомендации:
• Немедленно обновите Forminator до версии 1.44.3 или выше.
• Проверьте логи на запросы удаления файлов за пределами /wp-content/uploads/.
• Временно отключите автоматическое удаление форм или ограничьте права.
• Внедрите WAF‑правила, блокирующие HTTP‑запросы с параметром пути к файлам.
• По возможности используйте дополнительные плагины безопасности (например, Wordfence) для проактивного мониторинга.
В июне 2025 года в популярном плагине Forminator Forms – Contact Form, Payment Form & Custom Form Builder обнаружена уязвимость CVE‑2025‑6463 с базовым баллом CVSS 8.8 (HIGH).
🔎 На радарах СКИПА мы наблюдаем более 8 тысяч уникальных инсталляций WordPress с Forminator на просторах Рунета, потенциально уязвимых к CVE‑2025‑6463.
Пользователи CyberOK СКИПА PentOps были своевременно уведомлены.
Проблема позволяет без авторизации удалять произвольные файлы на сервере, включая критические конфигурационные файлы WordPress, что может привести к удаленному выполнению кода (RCE).
Уязвимость кроется в функции entry_delete_upload_files. При удалении заявки плагин принимает на вход путь к файлу из параметров формы и без проверок удаляет указанный файл. Злоумышленник может передать путь к wp-config.php или любому другому ресурсу и вывести сайт из строя или перехватить управление.
🎯 Условия эксплуатации:
• Любой посетитель может отправить запрос на удаление формы с параметром пути к файлу.
• Процесс удаления срабатывает как вручную, так и через встроенные антиспам‑механизмы.
• Отсутствие валидации и ограничения каталога удаления.
💥 Активная эксплуатация по всему миру:
• Плагин установлен на более чем 600 000 сайтов WordPress по всему миру.
• По оценкам экспертов, из них около 400 000 ресурсов потенциально под угрозой.
• Фиксируются кейсы массового удаления wp-config.php и последующего захвата сайта.
‼️ Рекомендации:
• Немедленно обновите Forminator до версии 1.44.3 или выше.
• Проверьте логи на запросы удаления файлов за пределами /wp-content/uploads/.
• Временно отключите автоматическое удаление форм или ограничьте права.
• Внедрите WAF‑правила, блокирующие HTTP‑запросы с параметром пути к файлам.
• По возможности используйте дополнительные плагины безопасности (например, Wordfence) для проактивного мониторинга.
IT-Connect
400 000 sites WordPress menacés par cette faille dans Forminator
Une faille de sécurité critique (CVE-2025-6463) découverte dans le plugin Forminator de WordPress menace des centaines de milliers de sites web !
🔥10
🆘 Критические уязвимости в Wing FTP Server (CVE-2025-47812 & CVE-2025-5196)
В июне 2025 года в Wing FTP Server (все версии до 7.4.3) обнаружены две серьёзные уязвимости удалённого выполнения кода — CVE-2025-47812 (CVSS 10.0) и CVE-2025-5196 (CVSS 7.5). Обе исправлены в обновлении 7.4.4.
◼️ СКИПА отслеживает около 900 экземпляров Wing FTP Server в Рунете. По оценкам экспертов CyberOK более 15% из них могут быть уязвимы для атак с использованием CVE-2025-47812 и CVE-2025-5196. Пользователи CyberOK СКИПА PentOps были своевременно уведомлены.
• CVE-2025-47812 (CVSS 10.0, RCE без авторизации) — NULL-байт инъекция в поле username на /loginok.html. При создании сессии вредоносный Lua-код сохраняется в файл и затем выполняется с правами root/SYSTEM, что даёт полный контроль над сервером.
• CVE-2025-5196 (CVSS 7.5, привилегированное RCE) — в консоли администратора на базе Lua не реализована должная изоляция кода: авторизованный админ может запустить произвольный код с завышенными правами.
🎯 Условия эксплуатации
• Wing FTP ≤ 7.4.3, доступ по HTTP/HTTPS.
• CVE-2025-47812: любой пользователь (POST /loginok.html).
• CVE-2025-5196: требуется учётная запись администратора (доступ к Lua Console).
💥 Активная эксплуатация
• PoC для CVE-2025-47812 уже в Exploit-DB и Metasploit.
• PoC для CVE-2025-5196 опубликован, но массовых атак пока не зафиксировано.
‼️ Рекомендации
• Срочно обновить до 7.4.4.
• Запускать службу под непривилегированным пользователем, а не root/SYSTEM.
• Ограничить доступ к веб-интерфейсу (брандмауэр, VPN).
• Мониторить POST-запросы на /loginok.html и необычную активность Lua.
В июне 2025 года в Wing FTP Server (все версии до 7.4.3) обнаружены две серьёзные уязвимости удалённого выполнения кода — CVE-2025-47812 (CVSS 10.0) и CVE-2025-5196 (CVSS 7.5). Обе исправлены в обновлении 7.4.4.
• CVE-2025-47812 (CVSS 10.0, RCE без авторизации) — NULL-байт инъекция в поле username на /loginok.html. При создании сессии вредоносный Lua-код сохраняется в файл и затем выполняется с правами root/SYSTEM, что даёт полный контроль над сервером.
• CVE-2025-5196 (CVSS 7.5, привилегированное RCE) — в консоли администратора на базе Lua не реализована должная изоляция кода: авторизованный админ может запустить произвольный код с завышенными правами.
🎯 Условия эксплуатации
• Wing FTP ≤ 7.4.3, доступ по HTTP/HTTPS.
• CVE-2025-47812: любой пользователь (POST /loginok.html).
• CVE-2025-5196: требуется учётная запись администратора (доступ к Lua Console).
💥 Активная эксплуатация
• PoC для CVE-2025-47812 уже в Exploit-DB и Metasploit.
• PoC для CVE-2025-5196 опубликован, но массовых атак пока не зафиксировано.
‼️ Рекомендации
• Срочно обновить до 7.4.4.
• Запускать службу под непривилегированным пользователем, а не root/SYSTEM.
• Ограничить доступ к веб-интерфейсу (брандмауэр, VPN).
• Мониторить POST-запросы на /loginok.html и необычную активность Lua.
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡7
Фикс vBulletin.php
4.6 KB
🚨 Уязвимость в vBulletin — BDU:2025-04734
⚠️ Исследователь СайберОК Алексей Седой совместно с коллегой KurandX из комьюнити выявил уязвимость в vBulletin — коммерческой платформе для создания форумов и онлайн-сообществ.
📡 СКИПА отслеживает около 1700 живых инстансов vBulletin, из которых более 1300 были уязвимы на момент выявления. В текущее время количество уязвимых снизилось до 200+.
Клиенты СайберОК СКИПА PentOps были уведомлены об уязвимости 15 апреля.
Уязвимость затрагивает старые версии vBulletin (3.x – 4.2.x) и связана с устаревшим модулем /forumrunner/, который часто остаётся активным даже после обновлений — особенно в случае использования лицензионной версии с автоматическим апдейтом через скрипт.
🧱 CVSS 3.1: 6.4 — средний* уровень опасности.
* Формально риск средний, но фактически приближается к High — эксплойт позволяет обойти HttpOnly и получить все cookie в контексте *.domain.com.
🧩 Проблемный скрипт:
⛔️ Параметр
🧪 Ранее в рамках bug bounty мы подтвердили эксплуатацию уязвимости на реальном ресурсе: при модерации сообщения с внедрённым внешним изображением происходила отправка всех сессионных cookie на домен злоумышленника, включая авторизационные токены.
💳 Идентификаторы
• BDU:2025-04734
• COK-2025-04-04
🔧 Мы подготовили фикс (сделано для версии 4.2.3) — прикрепляем в аттаче.
⚠️ Исследователь СайберОК Алексей Седой совместно с коллегой KurandX из комьюнити выявил уязвимость в vBulletin — коммерческой платформе для создания форумов и онлайн-сообществ.
📡 СКИПА отслеживает около 1700 живых инстансов vBulletin, из которых более 1300 были уязвимы на момент выявления. В текущее время количество уязвимых снизилось до 200+.
Клиенты СайберОК СКИПА PentOps были уведомлены об уязвимости 15 апреля.
Уязвимость затрагивает старые версии vBulletin (3.x – 4.2.x) и связана с устаревшим модулем /forumrunner/, который часто остаётся активным даже после обновлений — особенно в случае использования лицензионной версии с автоматическим апдейтом через скрипт.
🧱 CVSS 3.1: 6.4 — средний* уровень опасности.
* Формально риск средний, но фактически приближается к High — эксплойт позволяет обойти HttpOnly и получить все cookie в контексте *.domain.com.
🧩 Проблемный скрипт:
/forumrunner/image.php?url=
⛔️ Параметр
url подвержен SSRF-атаке, а также может быть использован для перехвата cookie-файлов пользователей. Важно: выполнение происходит со стороны PHP, без участия клиента.🧪 Ранее в рамках bug bounty мы подтвердили эксплуатацию уязвимости на реальном ресурсе: при модерации сообщения с внедрённым внешним изображением происходила отправка всех сессионных cookie на домен злоумышленника, включая авторизационные токены.
💳 Идентификаторы
• BDU:2025-04734
• COK-2025-04-04
🔧 Мы подготовили фикс (сделано для версии 4.2.3) — прикрепляем в аттаче.
🔥8❤5