Специалисты по информационной безопасности зафиксировали новую серьёзную уязвимость в популярной технологии распределённого хранения данных MySQL NDB Cluster. Этот продукт компании Oracle широко применяется в телекоммуникационной отрасли, финансовом секторе и в системах, требующих высокой доступности и отказоустойчивости. Проблема затрагивает все поддерживаемые ветки продукта, начиная с версии 8.0.11 и заканчивая актуальной сборкой 9.7.0. Речь идёт о критической уязвимости, которая позволяет злоумышленнику, уже имеющему базовый доступ к системе, удалённо повысить свои привилегии и спровоцировать отказ в обслуживании.
Детали уязвимости
Уязвимость получила идентификатор CVE-2026-46861 и зафиксирована в Банке данных угроз безопасности информации (BDU) под номером BDU:2026-08711. Причина кроется в неверной реализации механизмов разграничения доступа в компоненте Cluster: NDB Operator. Корректный контроль доступа - это основа любой серверной инфраструктуры, и его нарушение почти всегда ведёт к серьёзным последствиям. Ошибка классифицирована по стандарту CWE-284 как неправильный контроль доступа.
В чём заключается опасность? Нарушитель, действующий удалённо и имеющий статус легитимного пользователя (то есть обладающий минимальными учётными данными), может отправить специально сформированный HTTP-запрос к уязвимому кластеру. HTTP - это стандартный протокол передачи гипертекстовых данных, который используется для взаимодействия веб-приложений. В результате такой атаки злоумышленник способен не только получить полный административный контроль над системой (повышение привилегий), но и нарушить её нормальную работу (отказ в обслуживании). Иными словами, атакующий может и захватить управление кластером, и вывести его из строя.
Особую тревогу вызывает то, что уязвимость подтверждена самим производителем. Oracle уже включила её исправление в свой плановый выход критических обновлений безопасности за июнь 2026 года. Компания оперативно выпустила патчи для всех затронутых версий, поэтому пользователям настоятельно рекомендуется как можно скорее обновить программное обеспечение до актуальных сборок.
С точки зрения метрик оценки опасности ситуация выглядит следующим образом. По шкале CVSS 2.0 показатель равен 8,5, что соответствует высокому уровню опасности. Однако по современной версии CVSS 3.1 базовая оценка достигает 9,6 баллов из 10 возможных - это уже критический уровень. Столь высокая оценка объясняется простотой эксплуатации (атакующему не требуются особые права, достаточно обычной учётной записи), сетевым вектором атаки (атака проводится удалённо по протоколу HTTP) и отсутствием необходимости взаимодействия с жертвой. Кроме того, уязвимость оказывает влияние на конфиденциальность и целостность данных, хотя напрямую не нарушает доступность.
Важно понимать контекст: MySQL NDB Cluster - это не просто база данных, а специализированное решение для сценариев, где критически важны производительность и отказоустойчивость. Его используют в биллинговых системах операторов связи, в платформах электронной коммерции, в системах реального времени. Успешная атака на такой кластер может привести к остановке обслуживания абонентов, сбоям в обработке платежей или полной деградации сервиса.
К счастью, на момент публикации данных об эксплуатации уязвимости в реальных атаках нет. Сведения о наличии готового эксплойта пока уточняются. Тем не менее, промедление с установкой обновлений крайне рискованно. Уязвимость имеет высокую привлекательность для злоумышленников, поскольку позволяет получить административный доступ при минимальных начальных привилегиях.
Что стоит предпринять специалистам по безопасности? В первую очередь необходимо сверить используемые версии MySQL NDB Cluster с диапазонами уязвимых сборок. Под удар попадают ветки с 8.0.11 по 8.0.46, с 8.4.0 по 8.4.9, а также с 9.0.0 по 9.7.0 включительно. Если система работает на одной из этих версий, следует как можно быстрее установить исправления, выпущенные Oracle в рамках июньского цикла обновлений. Полные рекомендации производителя доступны по адресу, указанному в официальном бюллетене безопасности.
Дополнительно на время, пока патч не внедрён, можно ограничить доступ к HTTP-интерфейсу управления кластером, используя файрволы или средства сегментации сети. Однако это лишь временная мера, не устраняющая первопричину. Полноценная защита возможна только после обновления программного обеспечения.
Таким образом, перед нами классический пример уязвимости архитектуры, когда ошибка в проектировании механизма доступа приводит к катастрофическим последствиям. Подобные инциденты ещё раз напоминают о важности своевременной установки патчей и регулярного аудита конфигураций систем хранения данных. Игнорирование таких предупреждений может стоить бизнесу не только финансовых потерь, но и репутационного ущерба.
Ссылки
- https://bdu.fstec.ru/vul/2026-08711
- https://www.cve.org/CVERecord?id=CVE-2026-46861
- https://www.oracle.com/security-alerts/cspujun2026.html