В середине июня 2026 года опубликованы данные об уязвимости CVE-2026-8464, затрагивающей промышленное приложение Golem OEE MES (Manufacturing Execution System) от компании Neuron Soft. Проблема квалифицируется как неаутентифицированный обход пути (path traversal) - уязвимость класса CWE-22. Её эксплуатация позволяет злоумышленнику, находящемуся в одной локальной сети с сервером, читать произвольные файлы из операционной системы, манипулируя HTTP-запросами. Производитель выпустил исправление в версии 11.6.0, однако пользователи более ранних релизов остаются под угрозой.
Суть уязвимости
Согласно бюллетеню CVE, уязвимость присутствует во всех версиях Golem OEE MES до 11.6.0. Она связана с недостаточной проверкой путей, передаваемых в HTTP-запросах к веб-интерфейсу системы. Атакующий, не проходя аутентификацию, может сформировать запрос с последовательностями типа "../", чтобы выйти за пределы корневой директории веб-приложения. Это открывает доступ к любым файлам, хранящимся на сервере, включая конфигурационные файлы, журналы (логи), данные других приложений, системные файлы и, вероятно, учётные данные.
Важно подчеркнуть, что вектор атаки ограничен локальной сетью - об этом говорит метрика CVSS "AV:A" (Attack Vector: Adjacent). Это означает, что злоумышленник должен иметь доступ к той же подсети, что и уязвимый сервер, либо быть подключённым к ней через проводную или беспроводную среду. Однако внутри промышленных сетей этот сценарий вполне реален: например, через скомпрометированный компьютер оператора или через уязвимость в другом сетевом устройстве.
Базовый показатель CVSS v4.0 составляет 8,3 балла (HIGH). Вектор: "CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N". Расшифровка: атака возможна из соседней сети, сложность низкая, технологии атаки не требуются, привилегии не нужны, взаимодействие пользователя не обязательно. При успешной эксплуатации конфиденциальность данных на целевом хосте нарушается существенно (VC:H), конфиденциальность информации в среде (например, в облаке или другой защищённой зоне) также оказывается под угрозой (SC:H). Целостность и доступность не страдают.
Анализ и контекст
Golem OEE MES - это система управления производственными операциями, используемая на промышленных предприятиях для отслеживания эффективности оборудования (Overall Equipment Effectiveness) и планирования выпуска. Такие системы критически важны для непрерывности производства. Утечка файлов из операционной системы сервера может привести к раскрытию:
- учётных данных для доступа к базам данных и внутренним сервисам,
- конфигураций, содержащих пароли и токены,
- архивов с производственными данными,
- журналов, в которых могут быть записаны действия пользователей или администраторов.
Более того, злоумышленник, получив доступ к файлам, может собрать информацию для дальнейшего продвижения внутри сети: найти IP-адреса других узлов, пароли для системы управления доменом (например, Active Directory) или данные для вертикального перемещения (privilege escalation). Хотя уязвимость сама по себе не позволяет выполнять код или изменять файлы (VI:N, VA:N), но украденные секреты могут стать первым шагом к более серьёзной компрометации.
Техника эксплуатации типична для path traversal. Она заключается в добавлении к URL-адресу веб-запроса последовательностей "перехода в родительский каталог" - например, "../../../etc/passwd". Если веб-приложение не фильтрует такие конструкции, сервер отдаёт содержимое запрошенного файла. В случае Golem OEE MES уязвимость активируется без какой-либо аутентификации, что делает её особенно опасной для сред, где веб-интерфейс доступен из зоны предприятия (OT-сети). Во многих случаях администраторы могут оставлять такие порты открытыми для удобства мониторинга.
Примечательно, что CWE-22 (Path Traversal) входит в список наиболее распространённых веб-уязвимостей, но в системах промышленного класса (ICS/SCADA) они встречаются реже, чем в обычном корпоративном ПО. Тем не менее, последствия для производственного контура могут быть катастрофическими из-за невозможности быстрого обновления.
Цитата и ссылка на источник
Официальная запись CVE-2026-8464 была опубликована 11 июня 2026 года. В описании сказано: "Golem OEE MES is vulnerable to an unauthenticated path traversal flaw. This vulnerability allows an attacker in the same local network to read arbitrary files from the server's operating system by manipulating HTTP request paths. This issue has been fixed in version 11.6.0". Данные взяты из бюллетеня Национальной базы уязвимостей (NVD) и подтверждены производителем.
Neuron Soft, согласно имеющейся информации, уже выпустила обновление 11.6.0, которое устраняет уязвимость. В списке затронутых версий указаны все сборки начиная с 0 и до 11.6.0 (исключительно). Версия 11.6.0 и новее считаются не подверженными проблеме.
Резюме и рекомендации
Организации, использующие Golem OEE MES, должны незамедлительно оценить версию своего программного обеспечения. Если она ниже 11.6.0, необходимо как можно скорее выполнить обновление. Учитывая, что уязвимость CVE-2026-8464 не требует аутентификации для эксплуатации, любой узел в той же локальной сети может стать источником угрозы.
В случае невозможности немедленного обновления (например, из-за ограничений на время простоя производства) следует принять компенсирующие меры: ограничить доступ к веб-интерфейсу Golem OEE MES только доверенными IP-адресами, использовать сегментацию сети и межсетевые экраны, а также усилить мониторинг подозрительных HTTP-запросов, содержащих последовательности "../" или аналогичные. Важно понимать, что такие временные меры не гарантируют полной защиты, так как злоумышленник, уже находящийся в локальной сети, может обойти фильтрацию, используя ресурсы технических средств.
Риск для производств, которые оставят систему без исправления, заключается в потенциальной утечке конфиденциальных данных и последующем развитии атаки на внутренние ресурсы. Учитывая высокий базовый балл CVSS (8,3) и простоту эксплуатации, CVE-2026-8464 следует рассматривать как критическую для промышленных сред.
Ссылки
