В популярной системе для управления запросами и инцидентами Request Tracker обнаружена уязвимость, получившая идентификатор CVE-2026-6841. Она представляет собой отражённую межсайтовую подмену сценариев (reflected cross‑site scripting, XSS). Злоумышленник может скомпрометировать сессию авторизованного сотрудника, просто отправив ему ссылку с вредоносным кодом.
Request Tracker - это программа с открытым исходным кодом, которую используют тысячи организаций по всему миру для обработки заявок техподдержки, координации ИТ‑процессов и ведения внутреннего учёта инцидентов. Системой активно пользуются как крупные компании, так и государственные учреждения. Именно поэтому любая уязвимость в ней способна привести к масштабным последствиям.
Проблема кроется в обработке параметра "Page" при GET-запросах. Система не фильтрует вводимые пользователем данные должным образом. В результате атакующий может сформировать URL, в котором внутрь параметра "Page" внедрён произвольный код на языке JavaScript. Когда жертва открывает такую ссылку в своём браузере, код выполняется в контексте сайта Request Tracker.
Согласно официальному предупреждению, уязвимыми признаны версии с 5.0.4 по 5.0.9 включительно, а также все сборки из линейки 6.0.0, 6.0.1 и 6.0.2. Разработчики из компании Best Practical уже выпустили исправленные релизы - 5.0.10 и 6.0.3. Именно в них устранена причина небезопасной обработки данных.
Как работает атака
Механизм отражённой XSS-уязвимости хорошо известен специалистам по информационной безопасности. Злоумышленнику не нужно взламывать сервер или получать доступ к базе данных. Достаточно заставить сотрудника организации перейти по специально подготовленной ссылке. При этом ссылка может быть замаскирована под безобидный адрес, например, содержать легитимный домен системы. Всё, что остаётся сделать жертве, - кликнуть по ней.
После перехода вредоносный JavaScript исполняется в браузере. Поскольку код запускается от имени текущей сессии пользователя, он получает доступ к куки‑файлам (фрагментам данных для аутентификации), токенам и содержимому страниц. Атакующий может, к примеру, изменить настройки учётной записи, отправить заявку от имени жертвы, создать нового пользователя с правами администратора или просто украсть сессию и войти в систему под чужим логином.
Кроме того, XSS-уязвимости часто используют в многоэтапных атаках. Например, внедрённый код может перенаправить пользователя на фишинговую страницу, которая имитирует интерфейс Request Tracker, и вынудить ввести пароль. Или же злоумышленник может запустить загрузку дополнительных вредоносных скриптов с удалённого сервера.
Кто в зоне риска
Угроза затрагивает любую организацию, использующую уязвимые версии Request Tracker. При этом степень опасности зависит от конфигурации системы и её интеграций. Если экземпляр Request Tracker открыт в корпоративной сети, но не доступен из интернета, атакующий всё равно может доставить ссылку через электронную почту, мессенджеры или внутренние системы обмена сообщениями. На практике это означает, что инцидент может произойти даже без выхода во внешнюю сеть.
Стоит подчеркнуть, что XSS-уязвимости такого типа обычно получают средний уровень опасности по шкале CVSS. В отчёте CVE-2026-6841 указан базовый балл 5.1 (оценка по четвёртой версии метрики). Однако реальная опасность сильно варьируется. Если в организации к Request Tracker подключены другие сервисы (через API (программный интерфейс взаимодействия) или единую систему аутентификации), последствия атаки могут быть катастрофическими: от утечки конфиденциальных данных до полной компрометации смежных узлов.
Что делать
Разработчики уже выпустили патчи, поэтому первоочередная рекомендация - обновить Request Tracker до версии 5.0.10 или 6.0.3. Администраторам, которые не имеют возможности обновиться немедленно, следует ограничить доступ к системе по IP‑адресам или использовать отдельный прокси‑сервер с модулем проверки входящих запросов на подозрительные символы. Также можно временно отключить функциональность, связанную с параметром "Page", если это допустимо с точки зрения бизнес‑процессов.
Кроме того, полезно напомнить пользователям, что нужно проявлять бдительность: не переходить по ссылкам из непроверенных писем, обращать внимание на необычные адреса и немедленно сообщать о подозрительных сообщениях в службу безопасности.
Выводы
Обнаруженная уязвимость в Request Tracker - очередное напоминание о том, что даже зрелые продукты с открытым исходным кодом не застрахованы от ошибок в обработке пользовательского ввода. Отражённый XSS остаётся одним из самых распространённых классов уязвимостей в веб‑приложениях, и его легко пропустить при разработке. Однако для конечного пользователя последствия могут быть серьёзными, вплоть до полной потери контроля над учётной записью.
Своевременное обновление - единственный надёжный способ защититься. Администраторам Request Tracker стоит внести установку патча в список приоритетных задач, чтобы не дать злоумышленникам шанса воспользоваться этой лазейкой.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-6841
- https://docs.bestpractical.com/release-notes/rt/5.0.10
- https://docs.bestpractical.com/release-notes/rt/6.0.3
