Банк данных угроз безопасности информации (BDU) зарегистрировал новую критическую уязвимость в программном обеспечении для генерации отчетов Stimulsoft Reports.PHP. Идентификатор уязвимости - BDU:2026-04655. Эксперты классифицировали её как чрезвычайно опасную, поскольку она позволяет удалённому злоумышленнику записывать произвольные файлы на сервер. Соответственно, это открывает путь для полного контроля над уязвимой системой.
Детали уязвимости
Уязвимость затрагивает все версии Stimulsoft Reports.PHP до 2026.1.3. Данный продукт представляет собой библиотеку для PHP, широко используемую в веб-приложениях для создания и экспорта отчётов в различные форматы. Проблема кроется в модуле обработки события отправки отчёта по электронной почте. Там разработчики применили опасные методы или функции, что в терминологии Common Weakness Enumeration соответствует ошибке CWE-749, "Раскрытый опасный метод или функция". Фактически, это уязвимость внедрения, позволяющая злоупотреблять легитимным функционалом приложения.
Главная угроза заключается в возможности записи произвольного файла на диск сервера. Злоумышленник без предварительной аутентификации может отправить специально сформированный запрос. В результате, используя уязвимую функцию отправки email, он способен разместить на сервере вредоносный файл. Например, это может быть веб-оболочка, которая предоставит полный доступ к файловой системе. Впоследствии атакующий может установить программы-вымогатели (ransomware), украсть конфиденциальные данные или использовать сервер в качестве плацдарма для дальнейших атак внутри сети.
Оценка по методике CVSS подтверждает максимальный уровень угрозы. Базовый балл CVSS 2.0 достигает 10.0, что соответствует критическому уровню. Более современные версии стандарта также оценивают риск как крайне высокий. CVSS 3.1 присваивает уязвимости высший балл 10.0, а по обновлённому CVSS 4.0 оценка составляет 9.5. Все векторы атаки имеют сетевой характер, не требуют привилегий или взаимодействия с пользователем. Следовательно, эксплуатировать эту брешь можно полностью удалённо.
Производитель программного обеспечения, компания Stimulsoft, оперативно отреагировал на обнаруженную проблему. Уязвимость была подтверждена, и в версии 2026.1.3 выпущено исправление. Таким образом, единственной эффективной мерой защиты является немедленное обновление библиотеки Reports.PHP до актуальной версии. Администраторам веб-приложений, использующих эту технологию, настоятельно рекомендуется проверить её версию и применить патч. Ссылка на страницу с описанием изменений уже опубликована в BDU.
На текущий момент информация о наличии публичных эксплойтов уточняется. Однако учитывая критический характер уязвимости и простоту потенциальной эксплуатации, появление работающих методов атаки в ближайшее время весьма вероятно. Поэтому задержка с обновлением создаёт серьёзный риск для безопасности. Злоумышленники часто мониторят подобные объявления о уязвимостях, чтобы атаковать незащищённые системы.
Данный случай наглядно демонстрирует классические риски, связанные с компонентами сторонних производителей. Библиотеки для генерации отчётов, обработки файлов или отправки почты часто интегрируются в приложения без глубокого аудита их безопасности. Между тем, уязвимость в таком компоненте ставит под угрозу всё приложение целиком. Регулярное обновление всех зависимостей должно быть неотъемлемой частью политики безопасности.
В заключение, критическая уязвимость BDU:2026-04655 в Stimulsoft Reports.PHP требует безотлагательных действий. Системным администраторам и разработчикам необходимо проверить свои проекты на использование уязвимой версии библиотеки. Затем нужно незамедлительно обновиться до исправленной версии 2026.1.3. Пренебрежение этим обновлением может привести к компрометации сервера и тяжёлым последствиям, включая утечку данных и финансовые потери.
