Агентство кибербезопасности и инфраструктуры США (CISA) расширило свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV), включив пять новых пунктов. Решение основано на подтвержденных данных об активном использовании этих уязвимостей злоумышленниками в реальных атаках. Каталог KEV служит важным ориентиром для организаций при определении приоритетов устранения уязвимостей.
Детали уязвимостей
Среди добавленных уязвимостей две получили критический рейтинг 9.8 по шкале CVSS v3.1. CVE-2025-2746 и CVE-2025-2747 затрагивают платформу Kentico Xperience и связаны с обходом аутентификации в компоненте Staging Sync Server. Первая уязвимость позволяет обойти проверку подлинности через обработку пустых имен пользователей SHA1 в дайджест-аутентификации, вторая - через обработку паролей типа None. Успешная эксплуатация позволяет злоумышленнику получать контроль над административными объектами. Проблемы затрагивают версии Xperience до 13.0.172 и 13.0.178 соответственно.
Уязвимость CVE-2025-33073 в клиенте SMB Windows получила высокий рейтинг 8.8 баллов. Неправильный контроль доступа позволяет авторизованному злоумышленнику повышать привилегии через сеть. Хотя для эксплуатации требуется наличие предварительных прав доступа, комбинация с другими уязвимостями может привести к полному компрометированию системы.
Серверная уязвимость подделки запросов (Server-Side Request Forgery, SSRF) в Oracle E-Business Suite, обозначенная как CVE-2025-61884, также оценивается как высокоопасная с оценкой 7.5 баллов. Она затрагивает компонент Runtime UI в продукте Oracle Configurator и позволяет неаутентифицированному злоумышленнику получать доступ к конфиденциальным данным через HTTP-запросы. Подвержены версии от 12.2.3 до 12.2.14.
Особого внимания заслуживает CVE-2022-48503 - неспецифицированная уязвимость в нескольких продуктах Apple, которая демонстрирует долгосрочный характер киберугроз. Проблема, связанная с обработкой веб-контента, могла приводить к выполнению произвольного кода. Компания устранила ее еще в 2022 году в обновлениях для tvOS 15.6, watchOS 8.7, iOS 15.6, iPadOS 15.6, macOS Monterey 12.5 и Safari 15.6. Однако факт ее текущей эксплуатации подчеркивает важность своевременного обновления программного обеспечения.
Эксперты по безопасности отмечают, что уязвимости в Kentico Xperience представляют особую опасность для корпоративных сред, поскольку обход аутентификации в компонентах синхронизации может обеспечить злоумышленникам доступ к критически важным бизнес-процессам. Платформа широко используется для управления веб-контентом и цифровым опытом, что делает ее привлекательной мишенью для APT-групп.
Уязвимость в Windows SMB клиенте продолжает серию проблем с безопасностью в сетевых протоколах Microsoft. Учитывая повсеместное использование SMB в корпоративных сетях, даже ограниченный первоначальный доступ может быть эскалирован до полномасштабного компрометирования инфраструктуры. Организациям рекомендуется применять принцип минимальных привилегий и сегментировать сеть для ограничения потенциального ущерба.
Случай с Oracle E-Business Suite демонстрирует сохраняющуюся актуальность SSRF-атак против бизнес-приложений. Данный тип уязвимостей позволяет злоумышленникам обходить механизмы сетевой безопасности и получать доступ к внутренним системам. Для комплексной защиты необходимы не только установка исправлений, но и настройка правил брандмауэра и использование реверсивных прокси.
История с уязвимостью Apple 2022 года служит важным напоминанием о необходимости комплексного подхода к управлению уязвимостями. Многие организации до сих пор не применяют исправления систематически, оставляя окно возможностей для киберпреступников. Особенно это касается редко обновляемых устройств интернета вещей и встроенных систем.
Специалисты рекомендуют организациям немедленно проверить свои системы на наличие перечисленных уязвимостей и установить соответствующие обновления. Для продуктов Kentico необходимо обновиться до версий, вышедших после 13.0.178. Пользователям Windows следует установить последние накопительные обновления безопасности от Microsoft. Для Oracle E-Business Suite требуются патчи за июль 2025 года или новее. Владельцам устройств Apple необходимо убедиться, что установлены версии операционных систем не ниже указанных в рекомендациях.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2022-48503
- https://www.cve.org/CVERecord?id=CVE-2025-2746
- https://www.cve.org/CVERecord?id=CVE-2025-2747
- https://www.cve.org/CVERecord?id=CVE-2025-33073
- https://www.cve.org/CVERecord?id=CVE-2025-61884
