В Банке данных угроз безопасности информации (BDU) появилась новая запись под идентификатором BDU:2026-03053, описывающая критическую уязвимость в программном обеспечении Zero Shot scFoundation от Microsoft. Уязвимость, получившая идентификатор CVE-2026-23654, связана с проблемой в стороннем компоненте, используемом этим ПО. Согласно данным, злоумышленник может эксплуатировать её удалённо для выполнения произвольного кода на целевой системе, что открывает путь к полному её контролю.
Детали уязвимости
Уязвимость затрагивает все версии Zero Shot scFoundation до 0.1.1. Это прикладное программное обеспечение, предназначенное для анализа данных в биоинформатике. Пока точные операционные системы и аппаратные платформы, на которых развёрнуто уязвимое ПО, уточняются. Однако уровень угрозы оценивается как крайне высокий. Базовый балл по шкале CVSS 2.0 достигает максимального значения 10.0, что соответствует критическому уровню опасности. По более современной шкале CVSS 3.1 оценка составляет 8.8, что также классифицируется как высокий уровень опасности.
Разница в оценках объясняется эволюцией методологии подсчёта. В частности, вектор атаки по CVSS 3.1 включает требование взаимодействия с пользователем (UI:R), что несколько снижает потенциальную опасность по сравнению с идеализированной моделью CVSS 2.0. Тем не менее, оба показателя указывают на серьёзность проблемы. Уязвимость позволяет атаковать систему через сеть (AV:N) без необходимости аутентификации (PR:N) и с низкой сложностью атаки (AC:L). В результате успешной эксплуатации злоумышленник может получить полный контроль над конфиденциальностью, целостностью и доступностью данных (C:H/I:H/A:H).
Тип ошибки классифицируется как CWE-1395, то есть зависимость от уязвимого стороннего компонента. Этот класс уязвимостей стал распространённой проблемой в современной разработке, где активно используются открытые библиотеки. Следовательно, безопасность конечного продукта может быть скомпрометирована из-за уязвимости в одной из внешних зависимостей, на которую прямой контроль у разработчика может быть ограничен.
Производитель, Microsoft, уже подтвердил наличие уязвимости и выпустил обновление. Статус уязвимости в BDU обозначен как «устранена». Основным и рекомендуемым способом устранения угрозы является немедленное обновление программного обеспечения до версии, в которой проблема исправлена. Всем администраторам и пользователям Zero Shot scFoundation следует обратиться к официальному бюллетеню Microsoft по безопасности, доступному по ссылке в описании уязвимости.
На текущий момент информация о наличии публичных эксплойтов, то есть готовых инструментов для эксплуатации этой уязвимости, уточняется. Однако, учитывая критический характер уязвимости и её высокую оценку по CVSS, можно ожидать, что интерес злоумышленников к ней будет значительным. Следовательно, задержка с установкой обновления создаёт серьёзный риск для информационных систем, где используется это ПО.
Эксперты по кибербезопасности напоминают, что своевременное обновление программного обеспечения остаётся одним из самых эффективных базовых средств защиты. Особенно это критично для специализированного научного ПО, которое может обрабатывать конфиденциальные исследовательские данные. Уязвимости в компонентах цепочки поставок программного обеспечения требуют повышенного внимания со стороны как разработчиков, так и пользователей.
Таким образом, обнаруженная уязвимость в Zero Shot scFoundation служит очередным напоминанием о важности управления зависимостями и оперативного применения патчей. Организациям, использующим это решение, необходимо как можно скорее проверить используемые версии и выполнить обновление в соответствии с рекомендациями вендора, чтобы исключить риск удалённого выполнения злонамеренного кода и потенциальной полной компрометации систем.
Ссылки
- https://bdu.fstec.ru/vul/2026-03053
- https://www.cve.org/CVERecord?id=CVE-2026-23654
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-23654
