30 июня 2026 года опубликованы сведения об уязвимости CVE-2026-12076 в системе управления контентом Raytha CMS. Проблема затрагивает механизм разбора фильтров OData и позволяет неаутентифицированному удалённому атакующему выполнять произвольные SQL-запросы к базе данных PostgreSQL. По данным CVSS 4.0, уязвимость получила оценку 9,3 - критический уровень опасности. Попытки связаться с разработчиком не увенчались успехом, поэтому актуальность патча остаётся под вопросом.
Уязвимость CVE-2026-12076
Уязвимость находится в конвейере обработки OData-фильтров. Этот механизм используется для формирования запросов к данным через REST API, однако недостаточная фильтрация входящих параметров позволяет злоумышленнику внедрить произвольные SQL-команды. В результате потенциальная атака может привести к полной компрометации базы данных, включая извлечение учётных данных пользователей. Хотя уязвимость подтверждена для версии 1.5.2, существует вероятность, что затронуты и более ранние либо более поздние сборки, поскольку разработчик не предоставил обновлённых сведений.
Слабость классифицирована по CWE-89 (некорректная нейтрализация специальных элементов в SQL-команде). Вектор атаки - сетевой, без необходимости аутентификации. Для эксплуатации достаточно отправить специально сформированный HTTP-запрос к соответствующему эндпоинту. Учитывая высокую доступность эксплуатационного кода после публикации CVE, риск для организаций, использующих Raytha CMS, существенно возрастает. Отсутствие официального патча означает, что пользователи остаются один на один с угрозой.
Raytha CMS - open-source решение, применяемое в основном в корпоративных и образовательных проектах, где требуется гибкая настройка публикаций и работа с данными через OData. Часто такие системы используются для внутренних порталов, документации, баз знаний. Если злоумышленник завладеет учётными данными из БД, он сможет не только выгрузить содержимое, но и, в ряде случаев, получить доступ к другим системам организации через повторное использование паролей. Особую опасность представляет возможность изменить или удалить данные в БД без каких-либо следов для обычной логики приложения.
Как сообщается в бюллетене, попытки связаться с вендором (Raytha) не принесли результата - компания не ответила на уведомления об уязвимости. В связи с этим единственный способ минимизировать риск для администраторов - принять временные меры защиты. В первую очередь рекомендуется отключить или заблокировать доступ к эндпоинтам OData, если их использование не критично. Если отключение невозможно, следует настроить сетевые фильтры на приём запросов только от доверенных IP-адресов и усилить мониторинг логов веб-сервера на предмет аномальных SQL-конструкций. Обновление до более новой версии (если таковая появится) остаётся приоритетом.
Ситуация с CVE-2026-12076 отражает общую проблему open-source проектов с недостаточным уровнем поддержки безопасности. Когда разработчик не реагирует на уведомления, сообщество и пользователи оказываются в уязвимом положении. В таких случаях стандартные процедуры координации раскрытия уязвимостей (VDP) не срабатывают, и единственным способом защиты становится самостоятельное управление рисками. Вероятно, в ближайшее время исследователи выпустят детальный анализ кода с PoC-эксплойтом, что ещё более повысит вероятность атак. Всем, кто использует Raytha CMS, целесообразно оценить необходимость его дальнейшего применения в инфраструктуре.
Ссылки
