Positive Technologies представила декабрьский дайджест трендовых уязвимостей

Эксперты Positive Technologies отнесли к трендовым еще четыре уязвимости: это недостатки безопасности в ядре операционной системы Windows, панели управления веб-хостингом Control Web Panel (CWP), библиотеке для безопасного анализа и вычисления математических выражений expr-eval, и фрейм-ворке для создания веб-приложений Django.

Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.

Уязвимость в ядре Windows, связанная с повышением привилегий
PT-2025-46508 (CVE-2025-62215, CVSS — 7,0)

Уязвимость, согласно данным The Verge, потенциально может затрагивать около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows, таких как Windows 7 и Windows 8, а с октября 2025 — и Windows 10.

Успешная эксплуатация уязвимости позволяет злоумышленнику получить привилегии SYSTEM — полный контроль над уязвимой системой. Вектор эксплуатации локальный — злоумышленник должен заполучить первоначальный доступ к системе, например, при помощи фишинга или социальной инженерии, или проэксплуатировав другой недостаток безопасности.

Для того, чтобы защититься, пользователям необходимо установить обновления безопасности, которые представлены на официальных страницах Microsoft.

Уязвимость в Control Web Panel, связанная с удаленным выполнением кода
PT-2025-26757 (CVE-2025-48703, CVSS — 9,0)

По данным мониторинга, проводимого экспертами Positive Technologies, в настоящее время насчитывается более 220 000 экземпляров CWP, подключённых к Интернету.

Эксплуатация уязвимости может позволить удаленному злоумышленнику выполнить произвольный код, что может привести к полной компрометации системы. Для успешной эксплуатации уязвимости аутентификация не требуется: атакующим достаточно знать или подобрать действительное имя пользователя без прав root.

Для того, чтобы защититься, пользователям необходимо обновить CWP до версии 0.9.8.1205 и более поздней.

Уязвимость в библиотеках expr-eval и expr-eval-fork, связанная с удаленным выполнением кода
PT-2025-45064 (CVE-2025-12735, CVSS — 9,8)

По сообщениям Bleeping Computer, еженедельно библиотеку expr-eval загружают на NPM¹ более 800 тысяч раз, а её форк expr-eval-fork — более 80 тысяч. Библиотека используется в онлайн-калькуляторах, инструментах моделирования, системах искусственного интеллекта и обработки естественного языка (NLP), анализирующих математические выражения из текстовых подсказок, и других.

Успешная эксплуатация уязвимости позволяет злоумышленнику выполнить произвольный код. По сообщениям CERT-CC, это позволяет атакующему получить полный контроль над поведением программного обеспечения или полный доступ ко всей информации в уязвимой системе.

Ошибка была обнаружена исследователем безопасности Jangwoo Choe и впервые раскрыта 4 ноября 2025 года. На данный момент в проекте expr-eval недостаток безопасности находится в процессе исправления, в его форке expr-eval-fork она не полностью устранена. Безопасные версии должны появиться в соответствующей GHSA.

Внедрение SQL-кода² во фреймворке Django
PT-2025-45119 (CVE-2025-64459, CVSS — 9,1)

По данным 6sense, доля Django составляет около 33% среди всех веб-фреймворков, и он применяется более чем в 42 тысячах компаний. Ful.io отслеживает более 2,9 миллионов веб-сайтов Django.

Ошибка заключается в том, что методы, определяющие взаимодействия с базой данных в Django, уязвимы к SQL-инъекциям при использовании специально сформированного словаря в качестве аргумента параметров _connector или _negated. Эксплуатация уязвимости позволяет злоумышленнику выполнить произвольный SQL-запрос, что может привести к несанкционированному доступу к данным, обходу аутентификации или повышению привилегий.

Для того, чтобы защититься, пользователям необходимо обновить Django до одной из исправленных версий (5.2.8, 5.1.14 и 4.2.26). Более ранние, неподдерживаемые версии Django (такие как 5.0.x, 4.1.x и 3.2.x) не проверялись и могут быть уязвимы.

Не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.

¹ npm — это менеджер пакетов, который является стандартным инструментом для среды выполнения JavaScript Node.js.

² SQL-инъекция — уязвимость, позволяющая атакующему внедрять в запрос произвольный код на языке SQL для манипулирования базой данных и получения доступа к потенциально ценной информации.

Источник: Positive Technologies