Миллиард потенциальных жертв и один «дырявый» драйвер. Главное из свежего дайджеста трендовых уязвимостей

Специалисты компании Positive Technologies отнесли к трендовым еще три уязвимости. Под угрозой оказались пользователи облачного хранилища Microsoft OneDrive, популярного фреймворка React и системы управления базами данных MongoDB.

Первая уязвимость обнаружена в драйвере облачного сервиса Microsoft OneDrive (PT-2025-50155, CVE-2025-62221, CVSS — 7,8). Согласно данным, уязвимость потенциально может затрагивать около миллиарда устройств. Под угрозой находятся пользователи операционных систем Microsoft Windows, включая Windows 10 и 11, а также Windows Server 2019, 2022 и 2025. Microsoft отмечает случаи активной эксплуатации уязвимости в реальных атаках. Успешное использование недостатка безопасности позволяет злоумышленнику с доступом к обычной учетной записи повысить привилегии до уровня SYSTEM. Таким образом он может установить полный контроль над уязвимой системой. В частности, атакующий может получить несанкционированный доступ к конфиденциальным данным, загрузить вредоносное программное обеспечение или нарушить работу системы. Для защиты необходимо установить обновления безопасности, которые представлены на официальном сайте Microsoft.

Вторая уязвимость, получившая название React2Shell (PT-2025-48817, CVE-2025-55182, CVSS — 10), затронула фреймворк React Server Components. Согласно The Shadowserver Foundation, в интернете было доступно более 90 тысяч уязвимых узлов. По оценкам CyberOK, в Рунете и соседних регионах потенциально могут быть уязвимы более 40 тысяч узлов. По данным GreyNoise, массовые атаки с использованием уязвимости фиксируются с 5 декабря 2025 года. Например, Microsoft сообщила об обнаружении нескольких сотен скомпрометированных узлов в организациях по всему миру. Используя уязвимость, злоумышленники устанавливали инструмент для удаленного управления устройствами Cobalt Strike, трояны удаленного доступа VShell и EtherRAT и другие вредоносные программы. Уязвимость затрагивает три пакета фреймворка React: react-server-dom-webpack, react-server-dom-parcel и react-server-dom-turbopack. Уязвимы и другие фреймворки, в которые интегрированы React Server Components: Next.js, React Router, Expo, Redwood SDK, Waku и другие. Эксплуатируя эту уязвимость, злоумышленник может отправить специально сформированный HTTP-запрос, что позволит удаленно выполнить произвольный код на сервере с правами процесса запущенного веб-приложения. Это может привести к утечке конфиденциальной информации или нарушению функционирования отдельных систем. Для защиты пользователям необходимо обновить уязвимые пакеты React до одной из исправленных версий (19.0.1, 19.1.2 или 19.2.1). Пользователям Next.js необходимо дополнительно обновить пакеты до исправленных версий (15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 или 16.0.7).

Третья уязвимость, MongoBleed (PT-2025-52440, CVE-2025-14847, CVSS — 7,5), обнаружена в библиотеке zlib, которую использует MongoDB. Платформа Censys обнаружила около 87 тысяч потенциально уязвимых серверов MongoDB, из которых около двух тысяч находятся в России. Уязвимость связана с некорректной обработкой параметра длины данных при использовании библиотеки zlib. Сервер MongoDB некорректно проверяет соответствие между заявленной длиной сжатых данных и их реальным размером. В результате он выделяет память под заявленный объем, но заполняет его только тем, что можно распаковать. В оставшейся памяти могут содержаться фрагменты ранее использованных данных, например пароли, API-ключи и другие данные пользователей. Отправляя специально сформированные запросы на уязвимый сервер, злоумышленник без аутентификации может извлекать конфиденциальные данные. MongoBleed также затрагивает утилиту rsync в Ubuntu, поскольку она использует zlib. Для защиты пользователям необходимо установить обновления, доступные в версиях 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 и 4.4.30. Если это невозможно, разработчики рекомендуют отключить использование сжатия в zlib в серверных версиях MongoDB. Кроме того, следует ограничить доступ к серверу, разрешив подключение только с доверенных IP-адресов.