В конце сентября 2025 года обнаружена серьезная уязвимость в платформе автоматизации инфраструктуры Progress Chef Automate. Проблема получила идентификатор BDU:2025-13790 и CVE-2025-6724. Эксперты оценивают ее как высокоопасную.
Детали уязвимости
Уязвимость затрагивает все версии Chef Automate до 4.13.295. Данная платформа широко используется для управления DevOps-операциями и автоматизации ИТ-инфраструктуры. Проблема относится к категории уязвимостей кода.
Техническая суть проблемы заключается в недостаточной защите от SQL-инъекций (CWE-89). Конкретно, система не проверяет должным образом структуру SQL-запросов. Следовательно, злоумышленник может модифицировать запросы к базе данных.
Оценка по системе CVSS 2.0 показывает 9 баллов из 10 возможных. Соответственно, это указывает на критический уровень угрозы. Вектор атаки определен как сетевой (AV:N), с низкой сложностью эксплуатации (AC:L). При этом требуется наличие учетных данных (Au:S).
Более современная оценка CVSS 3.1 присваивает уязвимости 8.8 балла. Здесь также указаны требования к привилегиям (PR:L) и отсутствие взаимодействия с пользователем (UI:N). Влияние распространяется на конфиденциальность, целостность и доступность данных.
Эксплуатация уязвимости позволяет удаленному злоумышленнику получить несанкционированный доступ к приложению. В результате возможно полное compromise системы. Например, атакующий может читать, изменять или удалять данные.
Важно отметить, что способ эксплуатации классифицируется как инъекция. Это означает внедрение вредоносного кода в запросы к базе данных. Однако наличие работающего эксплойта пока не подтверждено.
Производитель Progress Software Corporation уже подтвердил проблему. Более того, компания выпустила обновление, устраняющее уязвимость. Соответственно, пользователям необходимо обновиться до версии 4.13.295.
Рекомендации по устранению опубликованы в официальной документации. Конкретно, следует использовать инструкции по адресу https://docs.chef.io/release_notes_automate/#4.13.295. Статус уязвимости указывает на то, что она уже устранена в последней версии.
Специалисты по кибербезопасности настоятельно рекомендуют немедленное обновление. Особенно учитывая популярность платформы в корпоративной среде. Кроме того, подобные уязвимости часто привлекают внимание киберпреступников.
Тип уязвимого ПО определен как прикладное программное обеспечение информационных систем. Затронутые операционные системы и аппаратные платформы пока уточняются. Тем не менее, проблема носит кроссплатформенный характер.
Данный случай демонстрирует важность регулярного обновления программного обеспечения. Особенно когда речь идет о системах управления инфраструктурой. В противном случае организации рискуют столкнуться с серьезными инцидентами безопасности.
Стоит отметить, что уязвимости типа SQL-инъекций остаются распространенной проблемой. Несмотря на то, что методы защиты хорошо известны, подобные ошибки продолжают появляться. Следовательно, разработчикам необходимо усилить тестирование кода.
В настоящее время нет информации о случаях активной эксплуатации уязвимости. Однако учитывая высокий балл CVSS, такая вероятность существует. Поэтому рекомендуется принять меры как можно скорее.
Прогресс в устранении уязвимости показывает ответственный подход вендора. В отличие от некоторых других случаев, здесь исправление выпущено быстро. Это минимизирует потенциальные риски для пользователей.
В заключение следует подчеркнуть, что современные системы автоматизации требуют особого внимания к безопасности. Поскольку они часто имеют доступ к критически важным компонентам инфраструктуры, их компрометацию может иметь катастрофические последствия для бизнеса.
Ссылки
- https://bdu.fstec.ru/vul/2025-13790
- https://www.cve.org/CVERecord?id=CVE-2025-6724
- https://docs.chef.io/release_notes_automate/#4.13.295
