В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьёзная уязвимость в популярном корпоративном программном обеспечении. Речь идёт о продукте Microsoft Power BI Report Server, который используется компаниями для развёртывания и управления бизнес-аналитикой в собственной инфраструктуре. Идентификатор уязвимости в BDU:2026-01776, а производитель присвоил ей код CVE-2026-21229. Ошибка классифицируется как недостаточная проверка вводимых данных (CWE-20). Эксплуатация этой уязвимости потенциально позволяет злоумышленнику, действующему удалённо, выполнить произвольный код на целевом сервере. Следовательно, это представляет прямую угрозу конфиденциальности и целостности корпоративных данных.
Детали уязвимости
Уязвимость затрагивает все версии Power BI Report Server до сборки 15.0.1120.113. Важно отметить, что продукт относится к сетевым программным средствам. Проблема была официально подтверждена самим производителем, Microsoft Corp, 10 февраля 2026 года. На текущий момент статус уязвимости обозначен как устранённая, что означает наличие исправления. Однако многие организации могут ещё не применить критическое обновление, оставляя свои системы открытыми для потенциальных атак. Основным и единственным рекомендованным способом устранения риска является немедленное обновление программного обеспечения до защищённой версии.
С точки зрения опасности, уязвимость получила высокие оценки по шкале CVSS. Базовая оценка CVSS 2.0 составляет 9.0 баллов, что соответствует высшему уровню критичности. Более современная метрика CVSS 3.1 присваивает ей 8.8 баллов, также указывая на высокий уровень опасности. Расшифровка векторов атаки раскрывает детали угрозы. Согласно CVSS 3.1, для эксплуатации требуется сетевая доступность (AV:N), низкая сложность атаки (AC:L) и наличие привилегий обычного пользователя (PR:L). При этом не требуется взаимодействие с пользователем (UI:N), а воздействие ограничивается только самой уязвимой системой (S:U). Однако последствия успешной атаки катастрофичны: полный компрометация конфиденциальности (C:H), целостности (I:H) и доступности (A:H) данных.
Механизм эксплуатации связан с манипулированием ресурсами сервера отчётов. Из-за недостаточной проверки вводимых данных злоумышленник может передать специально сформированные вредоносные команды. В результате это позволяет выйти за рамки предполагаемой функциональности и выполнить произвольный код. Фактически, атакующий получает контроль над сервером. Такая возможность часто используется для развёртывания дополнительного вредоносного кода, кражи чувствительной информации или для движения по корпоративной сети в поисках других целей. В контексте бизнес-аналитики на сервере часто хранятся ключевые отчёты, финансовые показатели и персональные данные сотрудников, что делает его привлекательной мишенью для групп APT.
Хотя наличие работающего эксплойта в открытом доступе пока уточняется, высокая оценка CVSS и простота эксплуатации делают вероятным его появление в краткосрочной перспективе. Поэтому задержка с установкой обновлений несёт значительные риски. Особенно учитывая, что Power BI Report Server часто развёртывается внутри периметра корпоративной сети. Следовательно, его компрометация может стать отправной точкой для масштабной кибератаки на всю организацию. Специалисты по безопасности рекомендуют не ограничиваться простым обновлением. Необходимо также проверить журналы на предмет следов возможных инцидентов, учитывая, что уязвимость могла быть известна до публичного раскрытия.
Для устранения уязвимости Microsoft выпустила патч. Все детали и инструкции по обновлению содержатся в официальном бюллетене безопасности компании по ссылке, указанной в BDU. Администраторам следует незамедлительно обратиться к этому ресурсу. Процедура включает в себя установку последней накопительной версии сервера отчётов. После применения исправления настоятельно рекомендуется протестировать работоспособность ключевых отчётов и процессов. Более того, данный инцидент служит напоминанием о важности своевременного управления обновлениями для всех корпоративных систем. Регулярное обновление является базовым, но критически важным элементом защиты.
Таким образом, уязвимость CVE-2026-21229 в Microsoft Power BI Report Server представляет собой конкретную и высококритичную угрозу. Она подчёркивает постоянную необходимость для компаний поддерживать строгий режим кибергигиены. Особенно это касается систем, работающих с критически важными бизнес-данными. Оперативное применение патча - это единственный способ полностью нейтрализовать данный риск. В противном случае организации могут столкнуться с инцидентами безопасности, последствия которых будут включать утечку данных, финансовые потери и репутационный ущерб. Следовательно, реагирование должно быть незамедлительным и системным.
Ссылки
- https://bdu.fstec.ru/vul/2026-01776
- https://www.cve.org/CVERecord?id=CVE-2026-21229
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21229
