В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, представляющая серьёзную опасность для корпоративных систем. Речь идёт об уязвимости в популярном веб-приложении для обмена файлами ZendTo. Присвоенный идентификатор BDU:2026-00884 соответствует международному CVE-2021-47667. Эксперты оценивают её базовый уровень опасности как критический с максимальными оценками 10.0 по шкалам CVSS 2.0 и CVSS 3.x.
Детали уязвимости
Уязвимость затрагивает сценарий "lib/NSSDropoff.php". Проблема классифицируется как внедрение команд операционной системы (CWE-78). Конкретно, ошибка возникает из-за недостаточной фильтрации и нейтрализации специальных элементов в параметре "tmp_name". Следовательно, злоумышленник может внедрить произвольные команды через специально сформированные POST-запросы.
По сути, атакующий, действуя удалённо, получает возможность выполнить любой код на сервере под правами пользователя, от которого работает веб-сервер. Это открывает путь к полному контролю над уязвимой системой. Злоумышленник может похитить конфиденциальные данные, установить вредоносное программное обеспечение, обеспечить себе постоянное присутствие (persistence) в системе или развернуть нагрузку (payload) для шифрования файлов (ransomware).
Подверженными риску являются версии ZendTo начиная с 5.24-3 и вплоть до 6.10-7. Разработчик, компания J.K.Field, уже подтвердил наличие проблемы. Более того, согласно данным BDU, эксплойты для эксплуатации этой уязвимости уже существуют в открытом доступе. Это значительно повышает актуальность угрозы, так как снижает порог входа для киберпреступников. Они могут использовать готовые инструменты без необходимости глубоких технических знаний.
Специалисты по кибербезопасности настоятельно рекомендуют администраторам немедленно проверить используемые версии ZendTo. Единственным эффективным способом устранения уязвимости является обновление программного обеспечения. Производитель устранил проблему в версии 6.10-7. Соответственно, всем пользователям необходимо обновиться до этой или более поздней версии.
Важно отметить, что уязвимость имеет минимальные требования для эксплуатации. Вектор атаки оценивается как сетевой (AV:N), не требует аутентификации (PR:N) и взаимодействия с пользователем (UI:N). Кроме того, она оказывает влияние на другие компоненты системы (S:C), что подчёркивает её масштабность. Успешная атака может привести к полной компрометации конфиденциальности, целостности и доступности данных.
Данный случай иллюстрирует классические риски, связанные с недостаточной валидацией пользовательского ввода в веб-приложениях. Несмотря на то что уязвимость технически не является новой, её регистрация в BDU и наличие публичных эксплойтов служат важным напоминанием для ИТ-отделов. Регулярное и своевременное обновление программного обеспечения остаётся краеугольным камнем защиты инфраструктуры.
Таким образом, администраторам систем, использующих ZendTo для безопасного обмена файлами, следует безотлагательно принять меры. Промедление с установкой патча может привести к серьёзному инциденту информационной безопасности. В текущем ландшафте угроз, где атаки на цепочки поставок и утилиты общего назначения учащаются, проактивная позиция является необходимостью.
Ссылки
- https://bdu.fstec.ru/vul/2026-00884
- https://www.cve.org/CVERecord?id=CVE-2021-47667
- https://nvd.nist.gov/vuln/detail/CVE-2021-47667
- https://projectblack.io/blog/zendto-nday-vulnerabilities/
