В российском TrueConf Server нашли цепочку 0-day уязвимостей, позволяющую удаленно выполнять команды

trueconf уязвимости xss компрометация сервер СайберОК
В российском TrueConf Server нашли цепочку 0-day уязвимостей, позволяющую удаленно выполнять команды
trueconf уязвимости xss компрометация сервер СайберОК

Ошибки авторизации и отсутствие ограничений на вход облегчают захват хоста.

image

В корпоративном сервере видеосвязи TrueConf Server выявлены 0-day уязвимости. Исследователи СайберОК обнаружили цепочку уязвимостей, которая при последовательной эксплуатации может привести к компрометации хоста. Дополнительно выявлена отражённая XSS, способная служить альтернативным вектором атаки.

По данным СайберОК, в российском сегменте сети работает около 11 тысяч экземпляров TrueConf. Примерно 30% из них потенциально уязвимы для цепочки из трех уязвимостей. На момент оценки XSS-уязвимости подвержены около 1300 экземпляров.

Исследователи описали три связанных шага, которые позволяют получить привилегии и выполнить команды на сервере. Первая проблема, зарегистрированная как COK-2025-10-15 и размещенная в базе данных ФСТЭК под номером 2025-13736, связана с недостаточным контролем механизма авторизации. Она позволяет обходить проверки прав и получать доступ к функциям, недоступным обычному пользователю, и открывает путь к дальнейшей эскалации.

Вторая ошибка, обозначенная как COK-2025-10-16 и зарегистрированная как 2025-13737, связана с отсутствием ограничений на количество попыток входа. Это дает возможность brute-force атак и автоматизированной проверки утёкших учетных записей, что приводит к получению валидного админ-аккаунта.

Третья уязвимость, COK-2025-10-27, отраженная в базе ФСТЭК как 2025-13738, связана с OS command injection и позволяет внедрять и исполнять команды операционной системы. В сочетании с предыдущими шагами она приводит к полному удалённому захвату хоста.

Помимо основной цепочки выявлена отраженная XSS COK-2025-09-08, зарегистрированная как 2025-11412. Она позволяет выполнить вредоносный JavaScript в контексте браузера жертвы, похитить сессионные cookie или выполнить действия от имени пользователя. Может использоваться как первичный вектор получения сессии.

Исследователи отмечают, что сочетание недостатков авторизации, отсутствия ограничений на перебор и возможности выполнения команд ОС формирует высокорисковую цепочку, пригодную для автоматизации и удаленной компрометации сервера.

Рекомендуется обновить TrueConf Server до версии 5.5.2 и при необходимости обратиться к вендору. Обновление опубликовано в их блоге TrueConf Server 5.5.2. Разработчики TrueConf оперативно отреагировали и устранили уязвимости.