В банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в веб-системах для обработки заявок Znuny. Данное программное обеспечение широко используется для организации работы служб поддержки клиентов, технической поддержки и управления ИТ-услугами (ITSM). Уязвимость, получившая идентификаторы BDU:2025-15988 и CVE-2025-26845, связана с фундаментальной ошибкой в архитектуре системы, а именно с некорректной обработкой динамически исполняемого кода.
Детали уязвимости
Проблема классифицируется как "внедрение кода" и официально подтверждена производителем, компанией Znuny GmbH. Суть уязвимости заключается в том, что система не осуществляет необходимую санацию (очистку) пользовательского ввода перед его исполнением в качестве кода. С технической точки зрения, это соответствует слабостям CWE-94 (Неверное управление генерацией кода) и CWE-95 (Непринятие мер по нейтрализации инструкций в динамически исполняемом коде).
Уровень опасности данной уязвимости оценивается как критический. Базовая оценка по методологии CVSS 3.1 достигает 9.8 баллов из 10 возможных. Это означает, что атака не требует от злоумышленника специальных условий доступа (PR:N), не предполагает взаимодействия с пользователем (UI:N) и может быть осуществлена удалённо через сеть (AV:N). В случае успешной эксплуатации злоумышленник получает возможность выполнить произвольные команды на сервере с максимальными привилегиями, что фактически означает полный контроль над системой.
Под угрозой находятся все поддерживаемые долгосрочные (LTS) и основные версии платформы Znuny. В частности, уязвимыми являются версии от 6.0.0 LTS до 6.0.48 LTS включительно, от 6.5.1 LTS до 6.5.11 LTS включительно, а также версии от 7.0.1 до 7.1.3 включительно. Таким образом, под угрозой находится значительная часть действующих инсталляций этого популярного инструмента.
На текущий момент точный механизм эксплуатации (эксплойт) в открытом доступе не обнаружен, однако его появление считается лишь вопросом времени, учитывая критический характер уязвимости. Производитель уже отреагировал на инцидент и выпустил необходимые обновления безопасности. Следовательно, основной и единственной рекомендованной мерой защиты является немедленное обновление программного обеспечения до исправленных версий.
Администраторам систем, использующих Znuny, следует безотлагательно обратиться к официальным источникам. В частности, вся информация о мерах по устранению, включая ссылки на патчи, содержится в консультативном бюллетене безопасности производителя ZSA-2025-03. Актуальные исправленные версии ПО также доступны на официальном GitHub-репозитории проекта и на странице загрузок Znuny. Важно отметить, что игнорирование данного обновления создаёт крайне высокий риск для безопасности всей ИТ-инфраструктуры организации.
Этот случай в очередной раз подчёркивает важность своевременного применения обновлений безопасности для всех компонентов корпоративной информационной системы, особенно для тех, которые, как ITSM-платформы, имеют широкий сетевой интерфейс и обрабатывают данные из ненадёжных источников. Регулярный мониторинг источников, таких как BDU и базы данных CVE, должен быть неотъемлемой частью процессов любого SOC (Security Operations Center). Эксперты рекомендуют администраторам не только установить патч, но и проверить логи своих систем на предмет возможных признаков компрометации, которые могли произойти в период между публикацией уязвимости и установкой исправления.
Ссылки
- https://bdu.fstec.ru/vul/2025-15988
- https://www.cve.org/CVERecord?id=CVE-2025-26845
- https://www.znuny.org/en/advisories/zsa-2025-03
