На платформе виртуализации zVirt от компании Orion Soft выявлены три серьёзные уязвимости, две из которых имеют критический уровень опасности. Соответствующие записи были опубликованы в Банке данных угроз безопасности информации (BDU) под идентификаторами BDU:2026-00971, BDU:2026-00967 и BDU:2026-00968. Все проблемы затрагивают версии программного обеспечения до 4.3, 4.4 и 4.5. Производитель уже подтвердил наличие недостатков и выпустил обновления, полностью их устраняющие.
Детали уязвимостей
Первая уязвимость (BDU:2026-00971) связана с механизмом резервирования конфигурационных данных. Её суть заключается в недостаточной проверке запросов на стороне сервера. Эксплуатация этой проблемы позволяет удалённому злоумышленнику, имеющему первоначальный доступ к системе, получить несанкционированный доступ к конфигурационным данным. Специалисты классифицировали ошибку как обход авторизации и серверную фальсификацию запросов. Базовые оценки по шкале CVSS составляют 9.0 для версии 2.0 и 8.8 для версии 3.1, что соответствует высокому уровню опасности.
Вторая уязвимость (BDU:2026-00967) представляет собой классическую межсайтовую сценарную атаку (Cross-Site Scripting, XSS). Проблема возникает из-за непринятия мер по защите структуры веб-страницы при обработке параметра "error_description". В результате злоумышленник может удалённо выполнить произвольный JavaScript-код в браузере целевого пользователя. Для успешной атаки необходимо, чтобы жертва перешла по специально сформированной вредоносной ссылке. Эта уязвимость получила максимально возможную оценку 10.0 по CVSS 2.0 и 8.8 по CVSS 3.1.
Третья проблема (BDU:2026-00968) связана с системой аутентификации платформы. Она является примером уязвимости открытой переадресации. Ошибка в обработке параметра "redirect_url" позволяет перенаправлять пользователей на ненадёжные внешние сайты. Этим могут воспользоваться злоумышленники для кражи учётных данных. Как и в случае с XSS, атака требует взаимодействия с пользователем, который должен перейти по подготовленной ссылке. Оценки критичности полностью совпадают с предыдущей уязвимостью: 10.0 по CVSS 2.0 и 8.8 по CVSS 3.1.
Все три недостатка были обнаружены 12 января 2026 года. Они отнесены к классу уязвимостей кода. На текущий момент нет подтверждённых данных о существовании работающих эксплойтов в открытом доступе. Однако высокие баллы CVSS указывают на значительный потенциальный ущерб. В случае успешного использования злоумышленники могут получить полный контроль над конфиденциальными данными, сеансами пользователей и всей инфраструктурой виртуализации.
Единственным эффективным способом устранения угроз является немедленное обновление программного обеспечения zVirt. Производитель Orion Soft уже выпустил патчи, устраняющие указанные проблемы. Администраторам необходимо обратиться к официальным источникам компании. В частности, актуальная информация размещена на сайте вендора и в корпоративном блоге на платформе Habr. Своевременная установка обновлений критически важна для безопасности.
Обнаружение сразу нескольких уязвимостей высокой степени опасности в одном продукте подчёркивает важность регулярного аудита кода. Особенно это касается платформ виртуализации, которые являются ключевым элементом современной ИТ-инфраструктуры. Комплексный характер проблем, затрагивающих как механизмы авторизации, так и обработку веб-запросов, требует всестороннего подхода к безопасности. Следовательно, компаниям следует не только применять заплатки, но и пересмотреть политики контроля доступа.
Данный инцидент также служит напоминанием об универсальных векторах атак. Межсайтовый скриптинг и открытые переадресации остаются распространёнными угрозами для веб-интерфейсов. Поэтому защита от них должна быть неотъемлемой частью жизненного цикла разработки любого ПО. В заключение, текущая ситуация с zVirt демонстрирует оперативную реакцию производителя на выявленные недостатки. Тем не менее, конечная ответственность за безопасность систем лежит на администраторах, которые обязаны поддерживать программное обеспечение в актуальном состоянии.
Ссылки
- https://bdu.fstec.ru/vul/2026-00971
- https://bdu.fstec.ru/vul/2026-00967
- https://bdu.fstec.ru/vul/2026-00968
- https://www.orionsoft.ru/zvirt#release
- https://habr.com/ru/companies/orion_soft/articles/987778/
