Критическая уязвимость в библиотеке dash-uploader: удалённое выполнение кода

В Банке данных угроз безопасности информации (BDU) ФСТЭК России появилась запись о критической уязвимости. Она затронула популярную библиотеку с открытым исходным кодом dash-uploader, предназначенную для загрузки файлов в веб-приложениях на Python. Проблема получила идентификатор BDU:2026-06515 и соответствующий CVE-2026-38360. Уровень опасности оценён как критический.

Детали уязвимости

Речь идёт о библиотеке, которую активно используют разработчики дашбордов и аналитических панелей на базе фреймворка Dash. Эта библиотека упрощает механизм приёма файлов от пользователей. Однако теперь стало известно, что в ней скрывалась серьёзная брешь. Уязвимость затрагивает все версии dash-uploader от 0.1.0 вплоть до 0.7.0a2 включительно. Причём производитель уже подтвердил проблему, а в открытом доступе существует готовый эксплойт.

Суть проблемы кроется в некорректной обработке путей к каталогам. Злоумышленник, действующий удалённо, может обойти ограничения на имя пути и получить доступ к файловой системе сервера. Эксплуатация уязвимости позволяет выполнить произвольный код. Иными словами, атакующий может полностью захватить контроль над уязвимой системой.Если ваше веб-приложение использует dash-uploader для приёма файлов от пользователей, то любой злоумышленник, отправив специально сформированный запрос, может заставить сервер выполнить его собственную команду. Это называется удалённым выполнением кода (RCE). Для пользователей такие инциденты заканчиваются компрометацией сервера, утечкой данных или превращением сервера в часть ботнета.

Уязвимость связана с двумя типами ошибок: неконтролируемый расход ресурса (CWE-400) и реализация некорректного потока управления (CWE-670). На практике это означает, что библиотека неправильно проверяет пути к временным каталогам и плохо управляет потоком выполнения кода.

Метрики CVSS 3.1 показывают максимально возможную оценку 9,8. Это означает, что уязвимость можно эксплуатировать удалённо, не имея никаких учётных данных, а сложность атаки низкая. Кроме того, взаимодействие с пользователем не требуется. Единственное, что нужно злоумышленнику - возможность отправить HTTP-запрос к серверу. Базовый вектор CVSS 2.0 также получил максимальную оценку 10. Такие показатели встречаются только у самых опасных уязвимостей.

Способ эксплуатации описан как исчерпание ресурсов. Но это лишь вершина айсберга. Исследователи безопасности уже опубликовали доказательства эксплуатации на GitHub. Атакующий может создать символическую ссылку (symlink) на системные каталоги, после чего библиотека, не проверяя корректность пути, обработает запрос и выполнит вредоносный код.

Под ударом находятся любые веб-приложения, использующие dash-uploader. Особенно уязвимы корпоративные аналитические панели, системы мониторинга и дашборды в государственных учреждениях. Библиотека dash-uploader является частью экосистемы Dash, которая широко применяется в финансовом секторе, промышленности и научных организациях. Поскольку уязвимость затрагивает множество версий, миграция на исправленную версию является единственным надёжным способом защиты. Разработчики уже выпустили патч в последних сборках. Соответствующая информация опубликована в репозитории проекта на GitHub. Ссылки на обновления приложены в бюллетене безопасности.

Прежде всего необходимо проверить установленные версии библиотеки. Если используется версия от 0.1.0 до 0.7.0a2, следует немедленно обновить dash-uploader до самой свежей стабильной сборки. Дополнительно стоит проверить логи серверов на предмет подозрительных запросов. Разработчикам рекомендуется обратить внимание на обработку путей к файлам в своих проектах. Уязвимость возникла из-за неверного ограничения имени пути к каталогу. При проектировании функций загрузки файлов стоит применять строгие проверки и избегать использования символических ссылок без дополнительных проверок.

Этот инцидент в очередной раз напоминает о важности своевременного обновления компонентов с открытым исходным кодом. Библиотеки, которые кажутся безобидными, могут стать точкой входа для злоумышленников. dash-uploader использовался тысячами разработчиков по всему миру. Но только сейчас выяснилось, что он содержал критическую уязвимость.

К счастью, производитель оперативно отреагировал и выпустил исправление. Однако тот факт, что эксплойт уже опубликован, делает ситуацию особенно опасной. Злоумышленники могут использовать эту информацию для целенаправленных атак.