В Банке данных угроз (BDU) зарегистрирована новая критическая уязвимость в системе управления базами данных HyperSQL DataBase (HSQLDB). Идентифицированная как BDU:2026-01710 и CVE-2022-41853, эта уязвимость представляет серьёзную угрозу, поскольку затрагивает не только саму СУБД, но и такие популярные продукты, как Android Studio и операционную систему Debian GNU/Linux. Эксперты присвоили проблеме максимальный уровень опасности.
Детали уязвимости
Уязвимость классифицируется как "Небезопасное отражение" (CWE-470). Она возникает из-за некорректной обработки входных данных, которые контролируются извне. Проще говоря, злоумышленник может отправить специально сформированный запрос к уязвимой базе данных. Этот запрос заставляет HSQLDB использовать механизм отражения для загрузки и выполнения произвольного Java-кода, выбранного атакующим. Следовательно, это позволяет удалённо выполнить произвольные команды на целевом сервере с правами пользователя, под которым работает HSQLDB.
Оценки по системе CVSS подчёркивают критичность ситуации. По версии CVSS 2.0 уязвимость получила базовый балл 10.0 из 10.0. Более современная метрика CVSS 3.1 присвоила оценку 9.8, что соответствует критическому уровню. Уязвимость не требует аутентификации для эксплуатации (PR:N), атака может быть проведена удалённо через сеть (AV:N), и для её осуществления не нужны какие-либо действия со стороны пользователя (UI:N). Успешная эксплуатация приводит к полной компрометации конфиденциальности (C:H), целостности (I:H) и доступности (A:H) системы.
Особую тревогу вызывает широта распространения уязвимого компонента. Помимо самой СУБД HSQLDB версий до 2.7.1, проблема затрагивает два ключевых продукта. Во-первых, это интегрированная среда разработки Android Studio версии 2025.2.3.9, которая использует HSQLDB для внутренних задач. Во-вторых, под угрозой находятся системы под управлением Debian GNU/Linux 10, если в них установлены пакеты, содержащие уязвимую версию HSQLDB.
Такое распространение значительно расширяет возможную поверхность атаки. Например, злоумышленники могут нацеливаться на рабочие станции разработчиков, использующих Android Studio, или на серверы, работающие под управлением Debian. Удалённое выполнение кода открывает путь для множества сценариев атаки. В частности, злоумышленники могут установить вредоносное программное обеспечение, такое как программы-вымогатели (ransomware), похитить конфиденциальные данные или создать точку постоянного доступа (persistence) в корпоративной сети для последующего продвижения.
Производитель уязвимого ПО, сообщество HSQLDB, подтвердило наличие проблемы и выпустило исправления. Основной способ устранения уязвимости - немедленное обновление программного обеспечения до актуальных версий. Для HSQLDB необходимо обновиться как минимум до версии 2.7.1, в которой проблема была устранена. Разработчикам также рекомендуется ознакомиться с официальным руководством по контролю доступа в SQL процедурах на сайте проекта.
Для пользователей Debian GNU/Linux 10 команда сопровождения долгосрочной поддержки (Debian LTS) выпустила обновления безопасности. Соответственно, необходимо установить исправленные пакеты через стандартный менеджер обновлений системы. Администраторам следует проверить все системы на наличие уязвимой версии HSQLDB, даже если она используется в качестве встроенного компонента другого приложения.
Пользователям Android Studio рекомендуется следить за обновлениями среды разработки от Google. Хотя конкретные детали исправления для этой версии Android Studio в открытых источниках могут быть менее подробными, общий принцип остаётся неизменным: необходимо использовать самые последние стабильные сборки ПО.
Данный инцидент наглядно демонстрирует риски, связанные с использованием компонентов с открытым исходным кодом в цепочке поставок программного обеспечения. Уязвимость в одной библиотеке, такой как HSQLDB, может каскадом распространиться на множество, казалось бы, несвязанных продуктов. Поэтому критически важно для организаций, особенно для команд разработки и отделов информационной безопасности (SOC), вести точный учёт всех используемых сторонних компонентов и их версий.
Хотя на момент публикации новости наличие активных эксплойтов в дикой природе уточняется, критический рейтинг уязвимости не оставляет времени на раздумья. Опыт показывает, что подобные "дыры" для удалённого выполнения кода быстро привлекают внимание как исследователей безопасности, так и киберпреступных группировок, включая APT. Следовательно, задержка с установкой патчей неоправданно увеличивает окно для потенциальной атаки. Регулярное и быстрое применение обновлений безопасности остаётся самым эффективным способом защиты от подобных угроз.
Ссылки
- https://bdu.fstec.ru/vul/2026-01710
- https://www.cve.org/CVERecord?id=CVE-2022-41853
- https://lists.debian.org/debian-lts-announce/2022/12/msg00020.html
- https://hsqldb.org/doc/2.0/guide/sqlroutines-chapt.html#src_jrt_access_control
- https://lists.debian.org/debian-security-announce/2023/msg00002.html
