В Банк данных угроз безопасности информации (BDU) была внесена запись о критической уязвимости в популярной системе GLPI, получившая идентификаторы BDU:2026-07155 и CVE-2026-26263. Этот программный продукт предназначен для управления заявками, инцидентами и учета компьютерного оборудования. Особую тревогу вызывает тот факт, что уязвимость подтверждена на российской операционной системе РЕД ОС версий 7.3 и 8.0, которая включена в единый реестр отечественного программного обеспечения.
Детали уязвимости
Уязвимость относится к классу CWE-89 - непринятие мер по защите структуры запроса SQL. Простыми словами, злоумышленник может внедрить вредоносный SQL-код через поля ввода на веб-интерфейсе системы. При этом для атаки не требуется никакой предварительной аутентификации, то есть злоумышленник может действовать полностью анонимно и удаленно. Достаточно знать сетевой адрес сервера, где развернута GLPI.
Разработчики проекта GLPI уже выпустили обновление, которое устраняет уязвимость - версия 10.0.6 и выше не подвержена данной проблеме. Для пользователей РЕД ОС также доступен патч через официальный портал разработчика.
Однако ситуация осложняется тем, что многие российские организации до сих пор используют устаревшие версии GLPI. Особенно это касается государственных учреждений и компаний с критической информационной инфраструктурой, которые перешли на РЕД ОС в рамках импортозамещения. Именно для них угроза наиболее серьезна.
Давайте разберем, что конкретно может сделать злоумышленник, используя данную уязвимость. Поскольку это SQL-инъекция с максимальным уровнем доступа, атакующий получает возможность не только читать данные из базы, но и выполнять произвольные команды на сервере. Это означает полный контроль над системой. Например, злоумышленник может извлечь учетные данные всех сотрудников, которые когда-либо создавали заявки в GLPI. Ведь в этой системе часто хранятся логины, пароли, а также информация об используемом оборудовании и программном обеспечении. Более того, GLPI нередко интегрируется с другими корпоративными сервисами через API. Это значит, что, получив доступ к GLPI, атакующий может продвинуться дальше по сети организации. Такой сценарий называется "горизонтальным перемещением" и часто используется в целевых атаках.
Оценка опасности по международной шкале CVSS 3.1 составляет 9,8 балла из 10 возможных. Это критический уровень. Для сравнения: максимальную десятку ставят только за уязвимости, позволяющие удаленно выполнить код без каких-либо условий. Здесь почти так же - атака возможна удаленно, не требует прав и представляет собой внедрение кода, пусть и SQL, а не исполняемого файла. Но на практике разница невелика: современные системы управления базами данных позволяют выполнять системные команды через расширенные процедуры.
По состоянию на момент публикации точных данных о существовании публичного эксплойта нет. Однако отсутствие эксплойта не должно успокаивать. Как показывает практика, для уязвимостей такого класса рабочие прототипы атак появляются в течение нескольких дней или недель после публичного раскрытия информации. Поэтому специалистам по информационной безопасности нужно действовать упреждающе.
Теперь о том, кто в зоне риска. Все организации, использующие GLPI версии ниже 10.0.6 на любых операционных системах. Но особенно уязвимы те, кто развернул GLPI на РЕД ОС версий 7.3 или 8.0. Важно отметить, что уязвимость связана с кодом самого приложения GLPI, а не с операционной системой. Просто производитель ОС подтвердил наличие проблемы для своей платформы и выпустил обновление.
Что делать администраторам безопасности? Прежде всего, необходимо срочно обновить GLPI до версии 10.0.6 или выше. Ссылка на соответствующую рекомендацию разработчика приведена в официальном уведомлении BDU. После обновления важно проверить системные журналы на предмет подозрительной активности за последние недели. Если злоумышленники уже воспользовались уязвимостью, признаки могут быть незаметны на первый взгляд. Кроме того, стоит временно ограничить доступ к веб-интерфейсу GLPI из внешних сетей, если это возможно. Использование VPN или межсетевых экранов для фильтрации входящего трафика снизит поверхность атаки.
Отдельно хочется подчеркнуть, что данная ситуация - еще один аргумент в пользу регулярного обновления программного обеспечения. Многие компании игнорируют выход патчей, пока не происходит инцидент. Но в случае с критическими уязвимостями цена бездействия может быть очень высокой.
Подводя итог: обнаружена критическая SQL-уязвимость в системе GLPI, которая затрагивает российские организации, использующие РЕД ОС. Проблема полностью устраняется обновлением. Рекомендуется немедленно провести обновление и проверить системы на наличие следов компрометации. Вопрос не в том, стоит ли обновляться, а в том, как быстро это сделать.
Ссылки
- https://bdu.fstec.ru/vul/2026-07155
- https://www.cve.org/CVERecord?id=CVE-2026-26263
- https://github.com/glpi-project/glpi/security/advisories/GHSA-346p-qj3v-9rxj
- https://redos.red-soft.ru/search/?iblock_id=&q=CVE-2026-26263
