В Банк данных угроз безопасности информации (BDU) поступила запись о новой уязвимости, затрагивающей популярную систему управления IT-услугами GLPI. Проблема получила идентификатор BDU:2026-05698 (CVE-2026-22247) и связана с ошибкой в обработке входящих запросов. Злоумышленник может удалённо инициировать SSRF-атаку (серверную фальсификацию запросов). Это позволяет ему манипулировать сетевыми взаимодействиями сервера и потенциально компрометировать внутреннюю инфраструктуру.
Детали уязвимости
Уязвимое программное обеспечение включает не только саму GLPI, но и операционную систему РЕД ОС версии 8.0, разработанную компанией «Ред Софт». РЕД ОС входит в единый реестр российских программ под номером 3751. Согласно данным BDU, проблема классифицируется как архитектурная слабость типа CWE-918. Производитель уже подтвердил уязвимость и выпустил исправление в версии GLPI 11.0.5.
Оценка опасности по шкале CVSS вызывает беспокойство. Базовая оценка по версии 3.1 достигла 9,1 балла из 10, что соответствует критическому уровню. Для версии 2.0 показатель составил 8,3 балла - высокий уровень. Вектор атаки сетевой, сложность низкая, но для эксплуатации требуются повышенные привилегии (PR:H). При этом взаимодействие с пользователем не нужно, а последствия затрагивают конфиденциальность, целостность и доступность данных на высоком уровне.
Важно отметить, что наличие эксплойта пока уточняется. Однако отсутствие публичного кода не снижает актуальность угрозы. SSRF-атаки часто становятся вектором для дальнейшего проникновения во внутренние сети, особенно если сервер имеет доступ к чувствительным системам. Подмена при взаимодействии - основной способ эксплуатации, указанный в BDU. Разработчики GLPI Project рекомендовали обновить систему до версии 11.0.5. Соответствующий патч доступен в официальном репозитории GitHub и в разделе безопасности проекта. Для пользователей РЕД ОС компания «Ред Софт» также предоставила ссылку на страницу поиска обновлений, связанных с CVE-2026-22247. Уязвимость устранена, поэтому администраторам настоятельно советуют установить обновление как можно скорее.
Администраторам стоит проверить используемые версии GLPI и РЕД ОС. Наличие патча не гарантирует безопасность, если он не установлен. Откладывать обновление не рекомендуется. Кроме того, после установки рекомендуется пересмотреть правила межсетевого экранирования и ограничить возможности сервера инициировать внешние соединения без необходимости.
Подводя итог: обнаружение BDU:2026-05698 - ещё один пример того, как стандартные IT-инструменты могут стать точкой входа для сложных атак. SSRF остаётся актуальной угрозой, и каждый случай её эксплуатации напоминает о необходимости регулярных обновлений и аудита безопасности.
Ссылки
- https://bdu.fstec.ru/vul/2026-05698
- https://www.cve.org/CVERecord?id=CVE-2026-22247
- https://github.com/glpi-project/glpi/releases/tag/11.0.5
- https://github.com/glpi-project/glpi/security/advisories/GHSA-f6f6-v3qr-9p5x
- https://nvd.nist.gov/vuln/detail/CVE-2026-22247
- https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2026-22247
