Серьезные уязвимости в программном обеспечении Partner Software и Partner Web, широко используемом государственными учреждениями и подрядчиками, создают риски удаленного выполнения кода и масштабных утечек данных. Обнаруженные бреши, зарегистрированные под идентификаторами CVE-2025-6076, CVE-2025-6077 и CVE-2025-6078, были официально раскрыты в бюллетене CERT 2 августа 2025 года.
Детали уязвимостей
Эти уязвимости представляют собой критические угрозы, позволяющие злоумышленникам получать полный контроль над информационными системами. Продукты разработчика, являющегося дочерней компанией N. Harris Computer Corporation, активно применяются муниципалитетами, региональными администрациями и коммерческими подрядчиками для поддержки полевых операций, работы с геоинформационными системами и картографическими данными.
Анализ уязвимостей выявил их происхождение из недостаточной санации входных данных в функциях загрузки файлов и создания заметок. Наиболее опасная из них, CVE-2025-6076, классифицируемая как критическая, позволяет аутентифицированным злоумышленникам загружать вредоносные файлы через вкладку отчетов. Отсутствие ограничений на типы файлов и проверки содержимого открывает путь для размещения исполняемого кода на серверах жертв, что ведет к полному компрометированию систем. Особую опасность эта брешь представляет для организаций, обрабатывающих конфиденциальные правительственные данные, поскольку затрагивает базовые механизмы обработки файлов.
Уязвимость CVE-2025-6077, оцениваемая как высокоопасная, связана с фатальной практикой поставки Partner Web со стандартными учетными данными администратора, идентичными во всех инсталляциях. Эта конфигурационная ошибка предоставляет злоумышленникам прямой путь к получению привилегий администратора, особенно при комбинации с уязвимостью загрузки файлов. Третья проблема, CVE-2025-6078, характеризуемая как среднеопасная, затрагивает функционал заметок в разделе задач. Недостаточная фильтрация входных данных позволяет внедрять HTML и JavaScript-код, создавая условия для межсайтового скриптинга. Эксплуатация этой бреши может привести к краже учетных данных, манипуляциям с отображаемой информацией или выполнению вредоносных сценариев в браузерах пользователей.
Широкое распространение ПО Partner в государственном секторе превращает эти уязвимости в системную угрозу. Успешная эксплуатация может спровоцировать несанкционированный доступ к чувствительным данным, фальсификацию полевых отчетов и сбои в работе критически важных муниципальных служб. Особую опасность представляет комбинация возможностей удаленного выполнения кода и уязвимостей стандартных учетных записей, создающая предпосылки для каскадных атак. Разработчик выпустил версию 4.32.2, устраняющую обнаруженные проблемы. Патч включает удаление стандартных учетных записей Admin и Edit, внедрение корректной санации данных для раздела заметок и ограничение загрузки файлов безопасными форматами: CSV, JPG, PNG, TXT, DOC и PDF. Обновление также блокирует выполнение загруженных файлов, ограничивая их функционал только просмотром.
Организациям, использующим Partner Web версий 4.32 и ниже, настоятельно рекомендуется немедленно установить обновление. Ответственное разглашение информации осуществлено Райаном Полнером из Агентства по кибербезопасности и инфраструктурной безопасности, что подчеркивает приверженность федеральных властей защите критически важного программного обеспечения. Инцидент высвечивает системные проблемы в цепочках поставок ПО для государственных нужд, где даже единичные уязвимости могут создавать угрозы национального масштаба. Отсутствие указанных оценок CVSS в публичном бюллетене вызывает вопросы о полноте информирования, однако критический характер брешей не вызывает сомнений у экспертов. Данный случай станет предметом анализа регуляторов, учитывая вовлеченность инфраструктурных объектов и потенциальные последствия для национальной безопасности. Масштабы возможного воздействия трудно переоценить, учитывая интеграцию ПО в процессы управления городскими службами, транспортными системами и ресурсоснабжением. Ситуация требует координации между разработчиками, государственными заказчиками и надзорными органами для предотвращения подобных инцидентов в будущем.
Проблема стандартных учетных данных в CVE-2025-6077 особенно показательна, демонстрируя пренебрежение базовыми принципами безопасности при развертывании корпоративных решений. Аналогично, механизм загрузки файлов без проверки их содержимого представляет собой архаичную уязвимость, которая регулярно фиксируется в различных веб-приложениях. Устойчивость таких элементарных брешей в ПО, используемом критически важными службами, вызывает серьезную озабоченность у специалистов по информационной безопасности.
Раскрытие уязвимостей совпало с усилением кибератак на государственный сектор, что повышает актуальность своевременного устранения угроз. Длительный жизненный цикл государственных ИТ-систем означает, что устаревшие версии ПО могут оставаться в эксплуатации годами, создавая хронические риски. В текущей геополитической обстановке защита инфраструктурного ПО становится не только технической, но и стратегической задачей. Событие подчеркивает необходимость независимого аудита безопасности для всех решений, используемых в государственном секторе, независимо от их профиля разработчика. Инцидент с Partner Software войдет в учебники как пример того, как тривиальные ошибки кодирования могут ставить под угрозу функционирование целых отраслей государственного управления.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-6076
- https://www.cve.org/CVERecord?id=CVE-2025-6077
- https://www.cve.org/CVERecord?id=CVE-2025-6078
- https://kb.cert.org/vuls/id/317469
