В популярной системе управления контентом QuickCMS обнаружена критическая уязвимость, получившая идентификатор CVE-2025-12465. Проблема классифицируется как слепая SQL-инъекция (Blind SQL Injection) и позволяет злоумышленникам извлекать конфиденциальную информацию из базы данных веб-сайта. Эксперты по кибербезопасности оценили уязвимость как высокоопасную, присвоив ей базовый балл 8.6 по шкале CVSS 4.0.
Детали уязвимости
Уязвимость кроется в функции "aFilesDelete", предназначенной для удаления файлов. Согласно описанию, проблема возникает из-за неправильной нейтрализации входных данных, которые предоставляет пользователь с высокими привилегиями. Как следствие, злоумышленник, уже имеющий доступ к учетной записи администратора, может внедрять вредоносные SQL-запросы. Эти запросы выполняются вслепую, то есть атакующий не видит прямого результата их выполнения в интерфейсе, но может поэтапно извлекать информацию, анализируя ответы системы.
Основная опасность CVE-2025-12465 заключается в её потенциальных последствиях. Успешная эксплуатация уязвимости может привести к полной компрометации базы данных CMS. В частности, злоумышленники могут получить доступ к хешам паролей пользователей, персональным данным, ключам сессий и другому критически важному содержимому. В дальнейшем эта информация часто используется для эскалации привилегий, организации фишинговых атак или создания точки постоянного доступа (persistence) в системе.
Важным аспектом инцидента стало взаимодействие с разработчиком. Согласно официальной записи, вендор QuickCMS был уведомлен об уязвимости заранее, однако не предоставил деталей о её характере или диапазоне уязвимых версий. На данный момент подтверждена уязвимость только версии 6.8. При этом исследователи отмечают, что другие версии программного обеспечения не тестировались и также могут быть подвержены данной атаке. Такая ситуация создает дополнительные риски для администраторов, которые используют как текущие, так и более старые сборки CMS.
С технической точки зрения уязвимость отнесена к классу CWE-89, который описывает классические ошибки SQL-инъекций. Высокий балл CVSS обусловлен сетевым вектором атаки (AV:N), низкой сложностью эксплуатации (AC:L) и отсутствии необходимости взаимодействия с пользователем (UI:N). Хотя для атаки требуются высокие привилегии в системе (PR:H), это не снижает общей опасности, так как скомпрометировать учетные данные администратора часто проще, чем эксплуатировать сложные технические уязвимости.
Производитель был уведомлен об этой уязвимости заранее, но не предоставил подробностей об уязвимости или диапазоне её версий. Только версия 6.8 была протестирована и признана уязвимой, другие версии не тестировались и также могут быть уязвимыми.
Сообществу администраторов и специалистов по информационной безопасности рекомендуется принять упреждающие меры. Во-первых, необходимо провести аудит систем на предмет использования версии 6.8. Во-вторых, следует реализовать мониторинг необычной активности, связанной с базой данных, например, подозрительные SQL-запросы из учетной записи администратора. В-третьих, в качестве временного решения можно рассмотреть возможность ограничения доступа к панели управления CMS или усиления контроля за действиями привилегированных пользователей.
Данный случай в очередной раз подчеркивает важность своевременного обновления программного обеспечения и применения принципа минимальных привилегий. Даже в системах, где требуется высокий уровень доступа для управления контентом, критически важные операции, такие как прямое взаимодействие с базой данных, должны быть дополнительно защищены. Пока разработчик не предоставит исправление, безопасность сайтов на QuickCMS напрямую зависит от бдительности их администраторов и корректности конфигурации внешних средств защиты, таких как межсетевые экраны веб-приложений (WAF).
