120 тысяч бизнесменов под прицелом. В популярном российском сервисе КУБ24 нашли уязвимость

КУБ24 0-day уязвимости CWE-79 XSS JavaScript СайберОК
120 тысяч бизнесменов под прицелом. В популярном российском сервисе КУБ24 нашли уязвимость
КУБ24 0-day уязвимости CWE-79 XSS JavaScript СайберОК

Вредоносный скрипт может лишить доступа к аккаунтам в КУБ24.

image

Эксперт компании «СайберОК» Роберт Торосян обнаружил 0-day уязвимости в КУБ24 – облачном онлайн-сервисе для автоматизации финансовых и управленческих задач в бизнесе. По информации вендора, этот сервис используют более 120 тысяч предпринимателей.

Уязвимости связаны с непринятием мер по защите структуры веб-страницы (CWE-79). Данные уязвимости позволяют выполнить вредоносный JavaScript в контексте браузера жертвы, что может привести к краже сессионных куки или выполнению действий от имени пользователя.

Уязвимостям присвоены идентификаторы СОК-2025-09-02 / BDU:2025-11155 (bdu.fstec.ru/vul/2025-11155) и СОК-2025-09-03 / BDU:2025-11156 (bdu.fstec.ru/vul/2025-11156), их базовая оценка по шкале CVSS 3.1 составляет 8,5 балла (вектор CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N), что соответствует высокому уровню опасности.

КУБ24 включен в реестр отечественного программного обеспечения Минцифры, пользователям сервиса рекомендуется обновить ПО до актуальной версии. Дополнительная информация об уязвимостях опубликована в уведомлении БДУ ФСТЭК.