Специалисты по информационной безопасности обнаружили две опасные уязвимости в компоненте библиотеки lxml_html_clean, которая используется в платформе Kaspersky Anti Targeted Attack Platform (решение для обнаружения и блокировки целевых атак). Проблемы затрагивают версии продукта до 7.1.7 включительно. Злоумышленник может использовать эти уязвимости для проведения межсайтового скриптинга (XSS) - атаки, при которой вредоносный код внедряется в веб-страницу и выполняется в браузере жертвы.
Суть проблемы
Первая уязвимость (CVE-2026-28348) связана с некорректной обработкой CSS-правила "@import" в очистителе HTML. Библиотека lxml_html_clean в версиях ниже 0.4.4 не проверяла экранированные последовательности Unicode внутри CSS. Из-за этого атакующий мог обойти фильтр опасных ключевых слов, таких как "@import" и "expression()". В результате в страницу подгружался внешний CSS-файл, что открывало путь к XSS-атакам в устаревших браузерах. Разработчики исправили этот недостаток в версии 0.4.4, но до обновления продукта он оставался неисправленным.
Вторая уязвимость (CVE-2026-28350) заключается в том, что по умолчанию очиститель HTML пропускает тег "<base>". Хотя настройка "page_structure=True" удаляет теги "<html>", "<head>" и "<title>", для "<base>" специальной обработки не предусмотрено. Злоумышленник мог вставить этот тег и изменить базовый адрес для всех относительных ссылок на странице. Это позволяло перенаправлять пользователя на подконтрольный злоумышленнику узел или внедрять вредоносные скрипты.
Обе уязвимости имеют оценку 6,1 по шкале CVSS (средний уровень опасности). Вектор атаки - сетевой, сложность низкая, для эксплуатации требуется взаимодействие пользователя (например, переход по ссылке). Атака может привести к раскрытию информации низкого уровня или изменению данных в сессии.
Кто под угрозой
Платформа Kaspersky Anti Targeted Attack Platform используется для защиты крупных организаций, государственных учреждений и промышленных объектов от сложных целевых атак (APT). Уязвимости были выявлены в версии 7.1.1 с патчем A. Если организация использует более ранние сборки, риск эксплуатации возрастает. Однако атака не выполняется автоматически - злоумышленнику нужно убедить жертву открыть специально сформированный файл или ссылку, так как проблема связана с модулем распаковки определенных форматов.
Контекст и экспертиза
Библиотека lxml_html_clean входит в состав популярного парсера lxml и предназначена для безопасной очистки HTML-содержимого от потенциально опасных элементов. Многие продукты, в том числе системы мониторинга трафика и антивирусные решения, полагаются на эту библиотеку. Найденные уязвимости - классический пример некорректного экранирования вывода (CWE-116). Разработчики библиотеки оперативно выпустили патч 0.4.4, но Kaspersky потребовалось время, чтобы интегрировать его в свою платформу. В итоге компания выпустила обновление до версии 7.1.7, которое закрывает обе проблемы.
Интересно, что уязвимость с тегом "<base>" особенно опасна в корпоративных веб-порталах, где много относительных ссылок на внутренние ресурсы. Злоумышленник, внедрив "<base>", может направить пользователя на поддельную страницу входа, что чревато кражей учетных данных. А обход фильтра CSS через Unicode escapes демонстрирует, что даже тщательно написанные фильтры могут иметь слепые зоны при работе с кодировками.
Последствия
Основной риск - утечка данных или компрометация учетных записей сотрудников, имеющих доступ к платформе. Если злоумышленник сможет выполнить XSS-скрипт в контексте веб-интерфейса Kaspersky Anti Targeted Attack Platform, он получит возможность читать и менять конфигурацию, просматривать отчеты об атаках или перенаправлять трафик. В худшем случае это может привести к отключению системы защиты и последующему успешному APT-вторжению.
Однако важно подчеркнуть, что для эксплуатации требуется взаимодействие пользователя. Автоматическая атака без участия человека маловероятна. Поэтому реальная опасность возникает, когда злоумышленник уже имеет доступ к внутренней сети и пытается развернуть фишинговую страницу или внедрить код через загруженные файлы.
Выводы и рекомендации
Рекомендуется немедленно обновить платформу до версии 7.1.7. Получить установочный пакет можно в технической поддержке компании. Организациям, использующим более старые версии, следует запланировать обновление в кратчайшие сроки. Также стоит проверить, не были ли скомпрометированы учетные записи администраторов платформы, особенно если в сети зафиксированы подозрительные действия.
Для тех, кто не может сразу установить патч, временной мерой может быть ограничение загрузки файлов неизвестных форматов и усиление фильтрации входного HTML-контента. Однако это лишь частичная защита. Полностью устранить уязвимости может только установка версии 7.1.7.
Напомним, что это не первый случай, когда проблемы в сторонней библиотеке lxml_html_clean затрагивают крупный продукт. В 2024 году схожие уязвимости были найдены в нескольких средствах веб-скрапинга и анализа трафика. Данный инцидент подчеркивает важность своевременного обновления зависимостей и регулярных проверок кода на наличие известных уязвимостей.
Ссылки
- https://support.kaspersky.com/vulnerability/list-of-advisories/12430#260526
- https://www.cve.org/CVERecord?id=CVE-2026-28350
- https://www.cve.org/CVERecord?id=CVE-2026-28348
