В ноябре 2025 года выявлена критическая уязвимость в корпоративном веб-приложении BEIMS Contractor Web, используемом для взаимодействия между подрядчиками. Проблема безопасности, получившая идентификаторы BDU:2025-14495 и CVE-2025-10460, связана с недостаточной проверкой вводимых данных и позволяет злоумышленникам выполнять произвольные SQL-команды.
Детали уязвимости
Уязвимость затрагивает версию 5.7.139 программного обеспечения BEIMS Contractor Web, разработанного компанией FMI Software Pty Ltd. Данное приложение относится к категории прикладного ПО информационных систем и широко используется для организации совместной работы между подрядчиками в корпоративной среде.
Согласно классификации Common Weakness Enumeration, уязвимость относится к категории CWE-20, что означает недостаточную проверку входных данных. Эксперты по кибербезопасности оценивают угрозу как критическую, поскольку атака не требует аутентификации и может проводиться удаленно.
Система оценки CVSS демонстрирует высокую степень опасности данной уязвимости. В версии CVSS 2.0 базовая оценка составляет 9.7 баллов из 10, что соответствует высокому уровню опасности. Более современные метрики CVSS 3.0 и CVSS 4.0 присваивают уязвимости 10 и 9.4 балла соответственно, подтверждая ее критический статус.
Основной вектор атаки предполагает манипулирование ресурсами приложения. Злоумышленник может внедрить вредоносный SQL-код через ненадлежащим образом проверяемые входные параметры. В результате возможно получение несанкционированного доступа к базе данных, включая конфиденциальную информацию о подрядчиках и проектах.
Эксперты рекомендуют организациям, использующим уязвимую версию приложения, немедленно принять компенсирующие меры. В частности, следует использовать антивирусное программное обеспечение для мониторинга попыток эксплуатации уязвимости. Кроме того, эффективной мерой защиты может стать развертывание систем обнаружения и предотвращения вторжений (IDS/IPS).
Важным аспектом защиты является минимизация пользовательских привилегий. Следует применять принцип наименьших привилезий, ограничивая права доступа пользователей только необходимыми функциями. Дополнительной мерой безопасности может стать использование замкнутой программной среды для работы с файлами из недоверенных источников.
На текущий момент информация о наличии эксплойтов и способах устранения уязвимости уточняется. Производитель FMI Software Pty Ltd еще не предоставил официального исправления. Между тем, эксперты продолжают мониторинг ситуации и рекомендуют следить за обновлениями на официальном портале знаний компании.
Потенциальные последствия успешной эксплуатации уязвимости включают полный компрометацию конфиденциальности, целостности и доступности данных. Злоумышленники могут получить несанкционированный доступ к информации о контрактах, финансовых данных и персональным данным сотрудников.
Организациям, использующим BEIMS Contractor Web, следует уделить особое внимание мониторингу подозрительной активности. Рекомендуется усилить контроль за SQL-запросами и обращать внимание на нехарактерные паттерны доступа к базе данных. Кроме того, важно обеспечить регулярное резервное копирование критически важной информации.
Ситуация с данной уязвимостью иллюстрирует сохраняющуюся актуальность проблем, связанных с безопасностью веб-приложений. Несмотря на многолетнюю историю борьбы с SQL-инъекциями, подобные уязвимости продолжают появляться в корпоративном программном обеспечении. Это подчеркивает необходимость постоянного аудита кода и проведения регулярных тестов на проникновение.
Специалисты по кибербезопасности продолжают анализировать возможные сценарии атаки и разрабатывать дополнительные рекомендации по защите. Актуальная информация о ходе решения проблемы будет появляться на официальных ресурсах производителя и в базах данных уязвимостей.
Ссылки
- https://bdu.fstec.ru/vul/2025-14495
- https://www.cve.org/CVERecord?id=CVE-2025-10460
- https://vulners.com/cve/CVE-2025-10460
