Специалисты Банка данных угроз (BDU) подтвердили наличие критической уязвимости в популярном программном обеспечении для управления закупками и тендерами. Уязвимость, зарегистрированная под идентификатором BDU:2025-16491, затрагивает систему Bidding Solutions от компании Meon. Ошибка в коде позволяет удаленному злоумышленнику полностью обойти механизмы авторизации и получить несанкционированный доступ к любым учетным записям пользователей.
Детали уязвимости
Согласно данным BDU, проблема существует в версиях программного обеспечения до 1.3 включительно. Уязвимость классифицируется как обход авторизации посредством использования ключа, контролируемого пользователем (CWE-639). Технически она связана с ошибкой обработки токенов Git LFS (Large File Storage), которые система использует для управления файлами. Неправильная валидация этих токенов создает брешь в системе безопасности.
Уровень опасности этой уязвимости оценивается экспертами как исключительно высокий. Базовые оценки по шкале CVSS (Common Vulnerability Scoring System) подтверждают серьезность угрозы. В частности, оценка по версии CVSS 3.1 достигает максимального значения в 10.0 баллов, что соответствует критическому уровню. Аналогично, оценка по CVSS 4.0 составляет 9.3 балла. Такие высокие баллы присваиваются редко и указывают на простоту эксплуатации и катастрофические последствия.
Основной вектор атаки (AV:N) в оценках CVSS означает, что для эксплуатации уязвимости злоумышленнику не нужен физический или локальный доступ к системе. Атака может быть проведена удаленно через сеть. Более того, для успешной атаки не требуются ни специальные привилегии (PR:N), ни взаимодействие с пользователем (UI:N). Следовательно, весь процесс может быть полностью автоматизирован. Воздействие на конфиденциальность (C:H) и целостность (I:H) данных оценивается как высокое. Это означает, что злоумышленник может не только просматривать, но и изменять критически важные данные, такие как коммерческие предложения, конфиденциальная документация и финансовые сведения.
Уязвимость уже получила глобальный идентификатор CVE-2025-42605. Индийская команда экстренного реагирования CERT-In также выпустила подробный бюллетень по этому вопросу. Производитель программного обеспечения, компания Meon, официально подтвердил наличие проблемы. К счастью, на текущий момент уязвимость уже устранена. Единственным надежным способом защиты является немедленное обновление программного обеспечения Bidding Solutions до версии, следующей за 1.3. Администраторам систем настоятельно рекомендуется проверить и применить все доступные патчи.
Хотя наличие публичного эксплойта на момент публикации данных уточняется, критический характер ошибки делает ее крайне привлекательной для киберпреступников. Особую озабоченность вызывает тот факт, что целевая система используется для управления коммерческими торгами. Следовательно, ее компрометация может привести к серьезным финансовым потерям, промышленному шпионажу и манипуляциям с результатами тендеров.
В краткосрочной перспективе, пока обновление не установлено, организациям следует усилить мониторинг сетевой активности. Необходимо обращать особое внимание на необычные попытки входа в систему или подозрительные манипуляции с файлами через интерфейс LFS. Регулярный аудит логов может помочь в раннем обнаружении инцидента. Таким образом, данная уязвимость служит серьезным напоминанием о важности своевременного обновления специализированного бизнес-программного обеспечения, которое часто становится целью для APT групп.
Ссылки
- https://bdu.fstec.ru/vul/2025-16491
- https://www.cve.org/CVERecord?id=CVE-2025-42605
- https://www.cert-in.org.in/s2cMainServlet?pageid=PUBVLNOTES01&VLCODE=CIVN-2025-0082
