У тебя NetCat? Тогда беги за обновлением — пока CVSS не догнал бизнес

Команда Positive Technologies выявила 23 уязвимости ( BDU:2024-06382 — BDU:2024-06404 ) в отечественной системе управления сайтами NetCat CMS, которая используется более чем на 15 тысячах порталах и входит в реестр Минцифры. Проблемы были обнаружены экспертами PT SWARM в ходе анализа защищённости и классифицированы как высоко- и критически опасные — с баллами от 8,1 до 9,1 по шкале CVSS 3.0.

Уязвимости затрагивали различные модули CMS и позволяли проводить атаки типа XSS и внедрение SQL-кода. В частности, был выявлен сценарий, при котором злоумышленник мог выполнить произвольный код на сервере от имени администратора, получить доступ к исходному коду сайта и закрепиться в системе для дальнейших атак.

Одна из наиболее значимых уязвимостей (BDU:2024-06394) позволяла повышать привилегии через уязвимый модуль динамических прав, открывая полный доступ к базе данных и другим критически важным компонентам сайта. Это представляло угрозу как для целостности ресурса, так и для внутренних систем компаний.

NetCat CMS широко используется в российских организациях, и, по данным PT Expert Security Center, осенью 2024 года более 200 инсталляций системы оставались доступными из глобальной сети. Подавляющее большинство из них — свыше 92% — находились на территории России.

Вендор NetCat был уведомлён в рамках ответственного раскрытия, и в результате выпущено обновление . Всем пользователям рекомендуется срочно установить версию 7.0 или более новую.