Команда аналитиков Positive Technologies регулярно исследует информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляет во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.
С прошлого дайджеста мы добавили еще 4 трендовые уязвимости.
Уязвимость в ядре Windows, связанная с повышением привилегий — PT-2025-46508 ( CVE-2025-62215)
Уязвимость в библиотеках expr-eval и expr-eval-fork, связанная с удаленным выполнением кода — PT-2025-45064 ( CVE-2025-12735)
Уязвимость в Control Web Panel, связанная с удаленным выполнением кода — PT-2025-26757 ( CVE-2025-48703)
Внедрение SQL-кода во фреймворке Django — PT-2025-45119 ( CVE-2025-64459)
По традиции начнем с уязвимости Windows.
Уязвимость в ядре Windows, связанная с повышением привилегий
PT-2025-46508 (CVE-2025-62215, оценка по CVSS — 7,0, высокий уровень опасности)
Уязвимость из ноябрьского Microsoft Patch Tuesday. Эксплуатация уязвимости позволяет локальному злоумышленнику получить привилегии SYSTEM. Причина уязвимости — Race Condition ( CWE-362) и двойное освобождение памяти ( CWE-415).
Доступны обновления для Windows 10/11 и Windows Server 2019/2022/2025.
Microsoft сообщили об эксплуатации уязвимости в реальных атаках 11 ноября в рамках MSPT, и на следующий день уязвимость добавили в CISA KEV. Подробностей по атакам пока нет.
Публичные эксплоиты доступны на GitHub с 18 ноября.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Кроме того, CISA добавило уязвимость в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: был опубликован PoC.
Количество потенциальных жертв: уязвимость, учитывая данные The Verge, потенциально может затрагивать около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows.
Способы устранения, компенсирующие меры: установить обновления безопасности, которые представлены на официальном сайте Microsoft.
Уязвимость в библиотеках expr-eval и expr-eval-fork, связанная с удаленным выполнением кода
PT-2025-45064 (CVE-2025-12735, оценка по CVSS — 9,8, критический уровень опасности)
Expr-eval — это JavaScript-библиотека для парсинга и вычисления математических выражений, обеспечивающая безопасную обработку пользовательских переменных. Она используется в онлайн-калькуляторах, учебных программах, инструментах для моделирования, финансовых приложениях, системах ИИ и обработки естественного языка (NLP). Уязвимость, связанная с недостаточной проверкой входных данных, может привести к выполнению произвольного JavaScript-кода в контексте приложения.
Уязвимость была выявлена 5 ноября. PoC на GitHub доступен с 11 ноября.
Пока уязвимость находится в процессе устранения в основном (фактически заброшенном ????♂️) проекте expr-eval, и не полностью устранена в его форке expr-eval-fork. Безопасные версии должны появиться в соответствующей GHSA.
Библиотека популярная. У expr-eval 800к скачиваний в неделю на npm, у expr-eval-fork - 88к.
Признаков эксплуатации вживую пока нет.
Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.
Публично доступные эксплойты: был опубликован PoC.
Количество потенциальных жертв: как сообщает Bleeping Computer, еженедельно библиотеку expr-eval загружают на NPM более 800 тысяч раз, а ее форк expr-eval-fork имеет более 80 тысяч еженедельных загрузок в реестре пакетов NPM.
Способы устранения, компенсирующие меры: в проекте expr-eval уязвимость находится в процессе исправления, в форке expr-eval-fork она не полностью устранена. Безопасные версии должны появиться в соответствующей GHSA.
Уязвимость в Control Web Panel, связанная с удаленным выполнением кода
PT-2025-26757 (CVE-2025-48703, оценка по CVSS — 9,0, критический уровень опасности)
Control Web Panel (CWP) — это бесплатная панель управления веб-хостингом для RPM-based дистрибутивов. Это веб-приложение позволяет удобно настраивать и контролировать веб-серверы (Apache, NGINX), базы данных (MySQL, MariaDB), почтовые системы (Postfix, Dovecot, Roundcube), DNS (BIND) и средства безопасности (CSF, ModSecurity).
Суть уязвимости: в запросе changePerm модуля filemanager есть параметр t_total, значение которого без достаточной проверки используется в качестве аргумента системной команды chmod. Это позволяет неаутентифицированному злоумышленнику выполнять произвольные shell-команды на сервере CWP.
Уязвимость исправлена в версии 0.9.8.1205, вышедшей 18 июня 2025 года.
Через четыре дня, 22 июня, вышел подробный write-up c описанием эксплуатации. А чуть позже появились и эксплоиты на GitHub.
4 ноября уязвимость добавили в CISA KEV.
Shodan видит в Интернете около 220 000 инсталляций CWP.
Признаки эксплуатации: CISA добавило уязвимость в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: был опубликован PoC.
Количество потенциальных жертв: по данным Shodan, насчитывается более 220 000 экземпляров CWP, подключенных к интернету.
Способы устранения, компенсирующие меры: необходимо обновить CWP до версии 0.9.8.1205 или более поздней.
Внедрение SQL-кода во фреймворке Django
PT-2025-45119 (CVE-2025-64459, оценка по CVSS — 9,1, критический уровень опасности)
Django — это бесплатный и открытый веб-фреймворк на языке Python. Уязвимость позволяет злоумышленникам манипулировать логикой запроса к базе данных, внедряя внутренние параметры запроса (_connector и _negated), когда приложения передают контролируемый пользователем ввод напрямую в вызовы filter(), exclude() или get(). Эксплуатация SQL-инъекции может привести к несанкционированному доступу к данным, обходу аутентификации или повышению привилегий.
Уязвимость была исправлена в версиях Django 5.2.8, 5.1.14 и 4.2.26, вышедших 5 ноября 2025 года. Более ранние, неподдерживаемые версии Django (такие как 5.0.x, 4.1.x и 3.2.x) не проверялись и могут быть уязвимы.
6 ноября для уязвимости появился публичный эксплойт.
Информации об эксплуатации в атаках пока нет.
По данным 6sense, доля Django среди веб-фреймворков составляет 32 %, и он применяется более чем в 42 000 компаниях. Ful.io отслеживает более 2,9 млн веб-сайтов на Django.
Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.
Публично доступные эксплойты: был опубликован PoC.
Количество потенциальных жертв: по данным 6sense, доля Django составляет около 33% среди веб-фреймворков, он применяется более чем в 42 тысячах компаний. Ful.io показывает более 2,9 млн веб-сайтов, использующих Django.
Способы устранения, компенсирующие меры: необходимо обновить Django до одной из исправленных версий — 4.2.26, 5.1.14 или 5.2.8. Более ранние версии Django не проверялись и могут быть уязвимы.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.
На этом все. До встречи в новом дайджесте трендовых уязвимостей в следующем году. Stay safe!
