Агентство кибербезопасности и инфраструктурной безопасности США (CISA) пополнило свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities) двумя новыми записями. Это решение основано на доказательствах активного использования данных уязвимостей злоумышленниками в реальных атаках. Каталог KEV служит важным ориентиром для организаций, помогая расставлять приоритеты в устранении наиболее опасных пробелов в безопасности.
CVE-2025-11953: Критическая уязвимость внедрения команд в React Native Community CLI
Первая из добавленных уязвимостей, получившая идентификатор CVE-2025-11953, затрагивает инструмент командной строки сообщества React Native (React Native Community CLI). Проблема классифицируется как внедрение операционных команд (OS Command Injection). Уязвимость существует в сервере разработки Metro, который по умолчанию запускается этим CLI и прослушивает внешние сетевые интерфейсы.
Сервер предоставляет конечную точку (endpoint), уязвимую для инъекции команд. Следовательно, злоумышленник, не прошедший аутентификацию и имеющий доступ к сети, может отправить специально сформированный POST-запрос на этот сервер. В результате атакующий получает возможность выполнить произвольный код на целевой системе. В частности, в среде Windows это позволяет запускать любые shell-команды с полностью контролируемыми аргументами, что эквивалентно полному удалённому выполнению кода (RCE).
База оценки уязвимостей CVSS присвоила этой проблеме максимальный балл 9.8, что соответствует критическому уровню опасности. Уязвимы все версии React Native Community CLI, начиная с 4.8.0 и заканчивая 20.0.0. Разработчики устранили проблему в версии 20.0.0, поэтому всем пользователям настоятельно рекомендуется немедленно обновиться.
CVE-2026-24423: Отсутствие аутентификации в почтовом сервере SmarterMail
Вторая уязвимость, CVE-2026-24423, обнаружена в почтовом сервере SmarterMail от компании SmarterTools. Проблема заключается в отсутствии проверки подлинности для критической функции (Missing Authentication for Critical Function). Конкретно, уязвимым является метод API ConnectToHub.
Эта ошибка позволяет злоумышленнику выполнить удалённый код без какой-либо аутентификации. Механизм атаки заключается в том, что злоумышленник может заставить сервер SmarterMail подключиться к контролируемому им вредоносному HTTP-серверу. Затем этот сервер передаёт команду операционной системы, которую уязвимое приложение SmarterMail выполняет на своей стороне.
Уязвимость затрагивает все версии SmarterMail, предшествующие сборке 9511. Компания SmarterTools выпустила исправление в сборке 9511. Уязвимость также получила высокую оценку по шкале CVSS 4.0 - 9.3 баллов, что классифицирует её как критическую. Таким образом, администраторам, использующим SmarterMail, необходимо срочно проверить версию своего продукта и установить актуальное обновление.
Рекомендации по безопасности и приоритизация
Эксплуатация обеих уязвимостей не требует от злоумышленника ни учётных данных, ни взаимодействия с пользователем. Это значительно упрощает проведение массовых сканирований и автоматизированных атак. Успешная эксплуатация может привести к полному компрометированию сервера, установке вредоносного программного обеспечения, краже данных или развёртыванию шифровальщика.
В заключение, текущая ситуация подчёркивает важность своевременного управления обновлениями и применения исправлений. Организациям, использующим React Native Community CLI в средах разработки, и компаниям, развернувшим SmarterMail, необходимо незамедлительно предпринять действия по устранению этих критических угроз. Регулярный мониторинг источников является ключевой практикой для упреждающего укрепления обороны.
