В Банке данных угроз безопасности информации (BDU) была зарегистрирована новая критические уязвимость в популярном медиасервере Emby Server. Присвоенный идентификатор BDU:2026-05171 также соответствует международному идентификатору CVE-2025-64113. Уязвимость затрагивает механизм восстановления пароля и позволяет удаленному злоумышленнику получить полный контроль над системой без необходимости предварительной аутентификации.
Детали уязвимости
Уязвимость классифицируется как CWE-640, что означает слабый механизм восстановления забытых паролей. Она затрагивает все версии стабильного релиза Emby Server до 4.9.1.80 включительно, а также бета-версии до 4.9.2.6. Производитель программного обеспечения, компания Emby LLC., уже подтвердил наличие проблемы и выпустил исправления. Уязвимость была устранена в более новых версиях ПО, поэтому основная рекомендуемая мера защиты - немедленное обновление программного обеспечения.
Согласно методологии оценки CVSS, уязвимость получила максимально возможные базовые оценки. В частности, по шкале CVSS 3.1 базовый балл составляет 10.0, что соответствует критическому уровню опасности. Это означает, что для эксплуатации уязвимости не требуется никаких специальных условий, таких как наличие учетных данных пользователя (PR:N) или взаимодействие с пользователем (UI:N). Более того, атака может проводиться удаленно через сеть (AV:N) и приводит к полной компрометации конфиденциальности, целостности и доступности системы (C:H/I:H/A:H). Расширенная оценка CVSS 4.0, учитывающая дополнительные факторы, также показывает высокий уровень угрозы - 9.3 балла.
Эксплуатация данной уязвимости, по данным BDU, основана на технике манипулирования сроками и состоянием. Хотя точные детали эксплуатации пока уточняются, подобные методы часто связаны с обходом временных ограничений или состояний сессии в процессе восстановления пароля. Например, злоумышленник может иметь возможность многократно использовать одноразовые ссылки или коды, подделывать токены или обходить проверки, что в итоге позволяет сбросить пароль администратора или любого другого пользователя. Успешная атака предоставляет злоумышленнику те же привилегии, что и у учетной записи, пароль которой был сброшен, что часто приводит к полному контролю над сервером Emby и потенциально над базовой операционной системой.
Полный доступ к системе открывает широкие возможности для злонамеренной деятельности. В первую очередь, злоумышленник может похитить или зашифровать все медиафайлы и личные данные пользователей, хранящиеся на сервере. Кроме того, скомпрометированный сервер может быть использован как плацдарм для атак на другие устройства в домашней или корпоративной сети. Например, злоумышленники часто устанавливают на захваченные системы вредоносное ПО для майнинга криптовалюты или превращают их в часть ботнета. В корпоративной среде утечка данных через такой медиасервер может привести к серьезным репутационным и финансовым потерям.
Стоит отметить, что подобные уязвимости в механизмах аутентификации и восстановления пароля являются особенно опасными. Они напрямую открывают доступ к системе, минуя основные защитные периметры. Для администраторов критически важно не только обновить Emby Server до исправленной версии, но и провести аудит журналов на предмет подозрительных попыток сброса паролей. Кроме того, рекомендуется проверить систему на наличие признаков компрометации, таких как неизвестные пользователи, новые установленные плагины или необычная сетевая активность.
Производитель опубликовал официальный бюллетень безопасности на портале GitHub. В этом бюллетене содержится полная техническая информация об уязвимости, ссылки на исправленные версии и рекомендации для пользователей. Пользователям, которые развернули Emby Server с доступом из интернета, следует отнестись к обновлению с максимальным приоритетом, поскольку их системы находятся в зоне непосредственной видимости для сканеров уязвимостей и злоумышленников. Лучшей практикой также является размещение подобных сервисов за VPN или в изолированных сегментах сети, чтобы ограничить потенциальную поверхность для атаки.
В заключение, уязвимость CVE-2025-64113 в Emby Server представляет собой серьезную угрозу безопасности. Ее критический статус обусловлен легкостью эксплуатации и тяжестью потенциальных последствий. К счастью, исправление уже доступно, и своевременное обновление является самым эффективным способом защиты. Администраторам следует действовать незамедлительно, чтобы предотвратить возможную компрометацию своих медиасистем и данных. Постоянное отслеживание подобных уведомлений через официальные каналы, такие как BDU или ресурсы производителя, должно быть неотъемлемой частью практики управления ИТ-безопасностью.
Ссылки
- https://bdu.fstec.ru/vul/2026-05171
- https://www.cve.org/CVERecord?id=CVE-2025-64113
- https://github.com/EmbySupport/Emby.Security/security/advisories/GHSA-95fv-5gfj-2r84
