В Банке данных угроз (BDU) безопасности информации зарегистрирована новая серьёзная уязвимость в популярном геоинформационном программном обеспечении с открытым исходным кодом QGIS. Идентифицированная под номерами BDU:2026-02092 и CVE-2026-24480, эта проблема представляет высокий риск, поскольку позволяет удалённому злоумышленнику выполнить произвольный код на целевой системе. Уязвимость связана с критическим недостатком в механизме контроля доступа, а именно с неправильной авторизацией (CWE-863).
Детали уязвимости
Согласно официальному отчёту, уязвимость затрагивает прикладное программное обеспечение информационных систем, разработанное сообществом свободного программного обеспечения. Хотя точные версии, операционные системы и аппаратные платформы подлежат уточнению, сам факт подтверждения уязвимости производителем подчёркивает её актуальность. Эксплуатация дефекта не требует сложных условий, поскольку злоумышленнику для атаки достаточно иметь учётную запись с базовыми привилегиями (PR:L в терминах CVSS 3.0) и осуществлять доступ по сети.
Система оценки CVSS в трёх своих версиях единодушно присваивает уязвимости высокий уровень опасности. В частности, базовая оценка по методологии CVSS 3.1 достигает 8.8 баллов из 10. Это указывает на катастрофические потенциальные последствия: полную компрометацию конфиденциальности (C:H), целостности (I:H) и доступности (A:H) данных. Упрощённо говоря, успешная атака может привести к краже информации, её уничтожению или шифрованию, а также к установке вредоносного ПО для обеспечения постоянного присутствия (persistence) в системе.
Основной вектор атаки классифицируется как нарушение авторизации. Следовательно, злоумышленник, обладающий легитимным, но ограниченным доступом, может обойти процедуры проверки прав и инициировать выполнение произвольных команд. Такая уязвимость особенно опасна в корпоративных средах, где QGIS используется для работы с критически важными пространственными данными, включая картографическую информацию инфраструктурных объектов.
К счастью, способ устранения проблемы уже известен и является стандартным - необходимо обновить программное обеспечение до исправленной версии. Разработчики QGIS оперативно отреагировали на обнаруженный дефект. Соответственно, информация об устранении уязвимости уже помечена как актуальная. Для получения детальных инструкций и применения патча рекомендуется обратиться к официальным источникам, включая рекомендации на GitHub.
Таким образом, текущая ситуация требует от администраторов и пользователей QGIS немедленных действий. Во-первых, необходимо проверить используемые версии ПО. Во-вторых, следует как можно скорее установить все последние обновления безопасности, предоставленные вендором. Промедление с обновлением оставляет системы открытыми для потенциальных атак, которые могут иметь серьёзные последствия. Своевременное применение исправлений остаётся наиболее эффективной мерой противодействия киберугрозам, связанным с уязвимостями в программном коде.
Ссылки
- https://bdu.fstec.ru/vul/2026-02092
- https://www.cve.org/CVERecord?id=CVE-2026-24480
- https://github.com/qgis/QGIS/security/advisories/GHSA-7h99-4f97-h6rw
- https://github.com/qgis/QGIS/commit/76a693cd91650f9b4e83edac525e5e4f90d954e9
