Критическая уязвимость в файлообменнике Erugo угрожает полным захватом систем

В Банке данных угроз безопасности информации (BDU) была зарегистрирована новая критическая уязвимость, затрагивающая автономную платформу для обмена файлами Erugo. Присвоенный идентификатор BDU:2026-05160 также соответствует идентификатору CVE-2026-24897. Эксперты оценивают её как чрезвычайно опасную, поскольку удалённый злоумышленник может полностью скомпрометировать систему, не имея для этого никаких прав доступа.

Детали уязвимости

Уязвимость существует в версиях программного обеспечения Erugo до 0.2.15. Она представляет собой комплексную проблему, включающую несколько типичных ошибок. Прежде всего, это некорректное ограничение пути к каталогу, также известное как обход пути (Path Traversal, CWE-22). Данная ошибка позволяет атакующему манипулировать параметрами загрузки файлов. В результате он может выйти за пределы предназначенного каталога и записать файл в произвольное место в файловой системе сервера.

Однако главная опасность кроется в комбинации этой уязвимости с другими. Система страдает от неограниченной загрузки файлов опасного типа (Unrestricted Upload of File with Dangerous Type, CWE-434). Проще говоря, она не проверяет должным образом тип и содержимое загружаемых файлов. Следовательно, злоумышленник может загрузить на сервер исполняемый скрипт или вредоносную программу. Далее, благодаря ошибке в управлении генерацией кода (Improper Control of Generation of Code, CWE-94), этот загруженный файл может быть выполнен. Фактически, это приводит к возможности внедрения и выполнения произвольного кода (RCE).

Оценка по методике CVSS подтверждает критический характер угрозы. По шкале CVSS 2.0 уязвимость получила максимально возможный балл - 10.0. По более современной шкале CVSS 3.1 базовая оценка также составляет 10.0, что соответствует высшему уровню опасности. Вектор атаки определён как сетевой, не требующий специальных условий или привилегий для эксплуатации. Более того, успешная атака может затронуть не только сам уязвимый компонент, но и смежные ресурсы.

Производитель программного обеспечения, сообщество ErugoOSS, уже подтвердило наличие проблемы и оперативно выпустило исправление. Уязвимость была устранена в версии 0.2.15. Соответствующий патч был внесён в код платформы. Разработчики настоятельно рекомендуют всем пользователям немедленно обновиться до актуальной версии. Ссылки на исправление и подробности содержатся в официальном бюллетене безопасности на GitHub.

Особую озабоченность у специалистов вызывает тот факт, что, согласно данным BDU, эксплойт для данной уязвимости уже существует в открытом доступе. Это означает, что злоумышленникам не требуется значительных усилий для создания инструмента атаки. Скорее всего, такие инструменты уже автоматизированы. В результате, необновлённые экземпляры Erugo становятся лёгкой мишенью для массового сканирования и компрометации.

Способ эксплуатации классифицируется как манипулирование ресурсами, инъекция и злоупотребление функционалом. Типичный сценарий атаки может выглядеть следующим образом. Злоумышленник отправляет на сервер Erugo специально сформированный HTTP-запрос на загрузку файла. В итоге, вместо временной папки, вредоносный файл, например, веб-оболочка на PHP или Python, оказывается в корневой директории веб-сервера. После этого атакующий обращается к загруженному файлу через браузер, тем самым запуская на сервере произвольные команды.

Полученный таким образом доступ к серверу открывает перед киберпреступниками широкие возможности. Они могут украсть конфиденциальные данные, установить программу-шифровальщик (ransomware), создать точку постоянного присутствия (persistence) в системе для долгосрочного шпионажа или использовать сервер в качестве плацдарма для атак на другие ресурсы внутри сети организации. Поэтому промедление с обновлением чревато серьёзными последствиями.

В качестве меры предосторожности, администраторам систем, где развёрнут Erugo, необходимо безотлагательно проверить текущую версию ПО. Если используется версия ниже 0.2.15, следует выполнить обновление через официальный репозиторий GitHub. Кроме того, важно помнить, что обновление - это лишь часть стратегии безопасности. Регулярный аудит прав доступа к файловой системе, настройка веб-сервера на запрет выполнения скриптов в папках загрузок и применение принципа минимальных привилегий помогают значительно снизить риски даже при появлении новых, ещё не известных уязвимостей.

Таким образом, уязвимость в Erugo служит очередным напоминанием об угрозах, связанных с самописным и нишевым программным обеспечением. Несмотря на свою простоту и удобство, такие решения часто становятся объектом пристального внимания исследователей безопасности и злоумышленников. Оперативное применение исправлений остаётся ключевым и самым эффективным способом защиты от подобных критических угроз.