В программном продукте Responsive FileManager версии 9.14.0 и всех более ранних обнаружена уязвимость, которой присвоен идентификатор CVE-2026-5482. Она затрагивает конечную точку dialog.php. Неаутентифицированный злоумышленник может загружать файлы любого типа и расширения без каких-либо ограничений. Такая возможность напрямую ведёт к удалённому выполнению кода на сервере. Вендор Tecrail на момент присвоения CVE прекратил поддержку проекта, то есть официальных исправлений не будет. Это обстоятельство повышает степень опасности для всех, кто продолжает использовать компонент.
Уязвимость CVE-2026-5482
Уязвимость классифицирована как CWE-434 - неограниченная загрузка файлов опасного типа. Согласно системе CVSS версии 4.0, она получила максимальный уровень опасности - 9,3 балла из 10. Вектор атаки: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L. Расшифровка показывает, что уязвимость эксплуатируется удалённо, не требует сложных условий доступа, привилегий или взаимодействия с пользователем. Атакующий может полностью нарушить конфиденциальность, целостность и доступность данных целевой системы. При этом влияние на смежные системы ограничено, но для самого уязвимого компонента последствия катастрофичны.
Технически проблема заключается в том, что endpoint dialog.php в Responsive FileManager не проверяет ни тип, ни расширение загружаемого файла. Скрипт принимает любые данные, которые поступают через HTTP-запрос, и сохраняет их в директории, доступной из веба. Это позволяет атакующему загрузить вредоносный скрипт, например на PHP, и затем обратиться к нему по прямому URL. В результате злоумышленник получает возможность выполнять произвольные команды на сервере. Потенциальная атака может привести к полной компрометации веб-сервера, краже базы данных, установке веб-шелла или использованию сервера как части ботнета.
Примечательно, что Responsive FileManager - это популярная библиотека для управления файлами, встраиваемая в проекты на PHP и JavaScript. Разработчики часто используют её как компонент файлового менеджера в собственных CMS, системах документооборота и порталах. Поскольку проект не обновляется с момента публикации версии 9.14.0, любая организация, которая применяет эту библиотеку в своих продуктах без дополнительных прослоек безопасности, остаётся уязвимой. Вендор Tecrail не планирует выпускать патч, что подтверждается статусом "unsupported-when-assigned" в записи CVE.
Согласно описанию уязвимости, опубликованному в базе данных CVE, атака не требует аутентификации. Это означает, что любой посетитель сайта, на котором установлен Responsive FileManager, может отправить запрос к dialog.php и загрузить исполняемый файл. Вектор атаки тривиален: достаточным является наличие одной HTTP-запроса с загрузкой файла. Разработчики, которые встраивали данную библиотеку, могли не озаботиться дополнительной проверкой на стороне сервера, поскольку предполагали, что вендор обеспечит фильтрацию. Однако теперь стало очевидно, что доверять компоненту нельзя.
В официальной записи CVE указано, что уязвимостью поражены все версии от первой до последней 9.14.0 включительно. Следовательно, миграция на более высокую версию невозможна, так как её просто не существует. Единственный способ устранить угрозу - полностью удалить Responsive FileManager из состава веб-приложения или заменить его на альтернативное решение, которое поддерживается разработчиком и не содержит аналогичной проблемы. Если это невозможно по техническим причинам, необходимо закрыть доступ к endpoint dialog.php на уровне веб-сервера, разместив блокирующие правила в конфигурации Nginx или Apache. Однако такой подход не гарантирует защиту, если компонент вызывается внутри других скриптов.
На данный момент единственный надёжный способ защиты - исключить Responsive FileManager из продакшена. Командам, отвечающим за безопасность, следует провести инвентаризацию веб-приложений: определить, где используется эта библиотека, и заменить её на поддерживаемый аналог. Ситуация усугубляется тем, что патч отсутствует, а значит, эксплуатация уязвимости будет только расти по мере того, как исследователи и злоумышленники публикуют доказательные концепты. Организациям, которые не обновят компонент, грозит удалённое выполнение кода со всеми вытекающими последствиями: утечка конфиденциальных данных, потеря контроля над сервером и финансовые потери.
Ссылки
