Декабрьский «В тренде VM»: уязвимости в Windows, библиотеке expr-eval, Control Web Panel и Django

На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили еще 4 трендовые уязвимости:

Уязвимость в ядре Windows, связанная с повышением привилегий - PT-2025-46508 (CVE-2025-62215)

Уязвимость в библиотеках expr-eval и expr-eval-fork, связанная с удаленным выполнением кода - PT-2025-45064 (CVE-2025-12735)

Уязвимость в Control Web Panel, связанная с удаленным выполнением кода - PT-2025-26757 (CVE-2025-48703)

Внедрение SQL-кода во фреймворке Django - PT-2025-45119 (CVE-2025-64459)

По традиции начнем с уязвимости Windows.

Уязвимость в ядре Windows, связанная с повышением привилегий

PT-2025-46508 (CVE-2025-62215, оценка по CVSS — 7,0, высокий уровень опасности)

Уязвимость из ноябрьского Microsoft Patch Tuesday. Эксплуатация уязвимости позволяет локальному злоумышленнику получить привилегии SYSTEM. Причина уязвимости - Race Condition (CWE-362) и двойное освобождение памяти (CWE-415).

• Доступны обновления для Windows 10/11 и Windows Server 2019/2022/2025.
• Microsoft сообщили об эксплуатации уязвимости в реальных атаках 11 ноября в рамках MSPT, и на следующий день уязвимость добавили в CISA KEV. Подробностей по атакам пока нет.
• Публичные эксплоиты доступны на GitHub с 18 ноября.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Кроме того, CISA добавило уязвимость в каталог KEV как активно эксплуатируемую.

Публично доступные эксплойты: был опубликован PoC.

Количество потенциальных жертв: уязвимость, учитывая данные The Verge, потенциально может затрагивать около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.

Способы устранения, компенсирующие меры: установить обновления безопасности, которые представлены на официальном сайте Microsoft.

Уязвимость в библиотеках expr-eval и expr-eval-fork, связанная с удаленным выполнением кода

PT-2025-45064 (CVE-2025-12735, оценка по CVSS — 9,8, критический уровень опасности)

expr-eval - это JavaScript-библиотека для парсинга и вычисления математических выражений, обеспечивающая безопасную обработку пользовательских переменных. Она используется в онлайн-калькуляторах, учебных программах, инструментах для моделирования, финансовых приложениях, системах ИИ и обработки естественного языка (NLP). Уязвимость, связанная с недостаточной проверкой входных данных, может привести к выполнению произвольного JavaScript-кода в контексте приложения.

• Уязвимость была выявлена 5 ноября. PoC на GitHub доступен с 11 ноября.
• Пока уязвимость находится в процессе устранения в основном (фактически заброшенном) проекте expr-eval, и не полностью устранена в его форке expr-eval-fork. Безопасные версии должны появиться в соответствующей GHSA.
• Библиотека популярная. У expr-eval 800к скачиваний в неделю на npm, у expr-eval-fork - 88к.
• Признаков эксплуатации вживую пока нет.

Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.

Публично доступные эксплойты: был опубликован PoC.

Количество потенциальных жертв: как сообщает Bleeping Computer, еженедельно библиотеку expr-eval загружают на NPM более 800 тысяч раз, а ее форк expr-eval-fork имеет более 80 тысяч еженедельных загрузок в реестре пакетов NPM.

Способы устранения, компенсирующие меры: в проекте expr-eval уязвимость находится в процессе исправления, в форке expr-eval-fork она не полностью устранена. Безопасные версии должны появиться в соответствующей GHSA.

Уязвимость в Control Web Panel, связанная с удаленным выполнением кода

PT-2025-26757 (CVE-2025-48703, оценка по CVSS — 9,0, критический уровень опасности)

Control Web Panel (CWP) - это бесплатная панель управления веб-хостингом для RPM-based дистрибутивов. Это веб-приложение позволяет удобно настраивать и контролировать веб-серверы (Apache, NGINX), базы данных (MySQL, MariaDB), почтовые системы (Postfix, Dovecot, Roundcube), DNS (BIND) и средства безопасности (CSF, ModSecurity).

• Суть уязвимости: в запросе changePerm модуля filemanager есть параметр t_total, значение которого без достаточной проверки используется в качестве аргумента системной команды chmod. Это позволяет неаутентифицированному злоумышленнику выполнять произвольные shell-команды на сервере CWP.
  
• Уязвимость исправлена в версии 0.9.8.1205, вышедшей 18 июня 2025 года.
• Через четыре дня, 22 июня, вышел подробный write-up c описанием эксплуатации. А чуть позже появились и эксплоиты на GitHub.
• 4 ноября уязвимость добавили в CISA KEV.
• Shodan видит в Интернете около 220 000 инсталляций CWP.

Признаки эксплуатации: CISA добавило уязвимость в каталог KEV как активно эксплуатируемую.

Публично доступные эксплойты: был опубликован PoC.

Количество потенциальных жертв: по данным Shodan, насчитывается более 220 000 экземпляров CWP, подключенных к интернету.

Способы устранения, компенсирующие меры: необходимо обновить CWP до версии 0.9.8.1205 или более поздней.

Внедрение SQL-кода во фреймворке Django

PT-2025-45119 (CVE-2025-64459, оценка по CVSS — 9,1, критический уровень опасности)

Django - это бесплатный и открытый веб-фреймворк на языке Python. Уязвимость позволяет злоумышленникам манипулировать логикой запроса к базе данных, внедряя внутренние параметры запроса (_connector и _negated), когда приложения передают контролируемый пользователем ввод напрямую в вызовы filter(), exclude() или get(). Эксплуатация SQL-инъекции может привести к несанкционированному доступу к данным, обходу аутентификации или повышению привилегий.

• Уязвимость была исправлена в версиях Django 5.2.8, 5.1.14 и 4.2.26, вышедших 5 ноября 2025 года. Более ранние, неподдерживаемые версии Django (такие как 5.0.x, 4.1.x и 3.2.x) не проверялись и могут быть уязвимы.
• 6 ноября для уязвимости появился публичный эксплойт.
• Информации об эксплуатации в атаках пока нет.
• По данным 6sense, доля Django среди веб-фреймворков составляет 32 %, и он применяется более чем в 42 000 компаниях. Ful.io отслеживает более 2,9 млн веб-сайтов на Django.

Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.

Публично доступные эксплойты: был опубликован PoC.

Количество потенциальных жертв: по данным 6sense, доля Django составляет около 33% среди веб-фреймворков, он применяется более чем в 42 тысячах компаний. Ful.io показывает более 2,9 млн веб-сайтов, использующих Django.

Способы устранения, компенсирующие меры: необходимо обновить Django до одной из исправленных версий — 4.2.26, 5.1.14 или 5.2.8. Более ранние версии Django не проверялись и могут быть уязвимы.

Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.

На этом все. До встречи в новом дайджесте трендовых уязвимостей в следующем году.