В начале ноября 2025 года в российском Банке данных угроз (BDU) была зарегистрирована новая серьёзная уязвимость в популярной платформе для управления вики-сайтами Wiki.js. Идентификатор уязвимости - BDU:2026-00043 (также известна как CVE-2025-56643). Проблема, связанная с неверным сроком действия сеанса, может позволить удалённым злоумышленникам получить полный контроль над системой, нарушая конфиденциальность и целостность хранимой информации.
Детали уязвимости
Уязвимость затрагивает Wiki.js версии 2.5.307, разработанную компанией Requarks. Это прикладное программное обеспечение широко используется в корпоративных и образовательных средах для создания внутренних баз знаний и документации. Ошибка классифицируется как уязвимость архитектуры (CWE-613) и связана с некорректной обработкой сроков жизни пользовательских сессий. Как следствие, сессия администратора или другого пользователя может оставаться активной значительно дольше положенного времени, даже после выхода из системы.
Согласно оценкам по методологии CVSS, опасность уязвимости оценивается как критическая. Базовый балл CVSS 3.1 составляет 9.1 из 10, что указывает на чрезвычайно высокий риск. Вектор атаки характеризуется как сетевой (AV:N), не требующий специальных привилегий для эксплуатации (PR:N) или взаимодействия с пользователем (UI:N). Успешная атака приводит к полному компрометированию конфиденциальности (C:H) и целостности (I:H) данных. Другими словами, злоумышленник может получить несанкционированный доступ к аккаунту с правами администратора, читать, изменять и удалять любую информацию на вики-платформе.
Технически эксплуатация уязвимости относится к классу атак, манипулирующих сроками и состоянием (Timing and State). На практике это означает, что злоумышленник, перехватив или подобрав идентификатор активной сессии, может использовать его для доступа к системе от имени легитимного пользователя в течение неограниченного времени. Такая устойчивость (persistence) представляет собой серьёзную угрозу, особенно если это касается учётной записи администратора.
В настоящее время точный способ устранения уязвимости от разработчика, Requarks, не опубликован, статус информации обновляется. Необходимо принять упреждающие меры. Прежде всего, следует минимизировать пользовательские привилегии, предоставляя доступ только к необходимым для работы функциям. Кроме того, важно отключить или удалить неиспользуемые учётные записи, чтобы сократить возможную поверхность атаки. Использование систем обнаружения и предотвращения вторжений (IDS/IPS) может помочь в отслеживании подозрительных попыток эксплуатации уязвимости. Антивирусное программное обеспечение также способно зафиксировать аномальную активность. Для работы с файлами из недоверенных источников рекомендуется применять замкнутые программные среды, например, песочницы.
Поскольку уязвимость связана с механизмом сессий, администраторам стоит обратить особое внимание на мониторинг активных сеансов пользователей через панель управления платформы, если такая функция предусмотрена. Следует отслеживать необычные места входа или аномально долгую активность сессий. До выхода официального патча крайне важно усилить контроль за учётными записями с высокими привилегиями и рассмотреть возможность более частого принудительного завершения сессий.
В контексте модели киберугроз MITRE ATT&CK данная уязвимость может быть отнесена к тактике «Доступ к учетным данным» (Credential Access), в частности, к технике хищения или подделки токенов аутентификации. Успешная эксплуатация открывает злоумышленнику путь к выполнению других тактик, таких как «Постоянное присутствие» (Persistence) и «Влияние» (Impact), через модификацию или уничтожение данных.
В заключение, обнаруженная уязвимость в Wiki.js служит очередным напоминанием о критической важности управления сессиями и доступом в веб-приложениях. Организациям, использующим эту платформу, необходимо внимательно следить за официальными каналами Requarks для получения информации о патче. Параллельно следует незамедлительно внедрить рекомендуемые компенсирующие меры безопасности, чтобы снизить риск реализации угрозы до её полного устранения. Постоянный аудит прав доступа и активный мониторинг необычной активности должны стать неотъемлемой частью эксплуатации любых систем управления контентом.
Ссылки
- https://bdu.fstec.ru/vul/2026-00043
- https://www.cve.org/CVERecord?id=CVE-2025-56643
- https://github.com/0xBS0D27/CVE-2025-56643
