11 мая 2026 года были опубликованы данные о двух уязвимостях в системе управления обучением ATutor. Обе проблемы относятся к типу отражённой XSS (межсайтовой скриптовой уязвимости). Они затрагивают скрипты установки и обновления платформы. Злоумышленник может отправить жертве специально сформированную ссылку, при переходе по которой вредоносный код выполнится в браузере.
Уязвимости получили идентификаторы CVE-2026-6909 и CVE-2026-6956. Первая касается скрипта /install/upgrade.php, вторая - /install/install.php. Обе оценены как средние по шкале CVSS - 5,1 балла. Подтверждена уязвимость только для версии 2.2.4, однако разработчики не указали полный диапазон подверженных версий. Из-за прекращения поддержки проекта исправлений ждать не стоит.
Почему это опасно
Отражённая XSS возникает, когда веб-приложение принимает входные данные (например, из URL) и вставляет их на страницу без должной фильтрации. Злоумышленник встраивает в ссылку вредоносный JavaScript. Когда ничего не подозревающий пользователь открывает такую ссылку, код выполняется в контексте сессии этого пользователя. Это может привести к краже файлов cookie, перехвату сессии, перенаправлению на фишинговые сайты или внедрению дефейса.
Особая опасность состоит в том, что скрипты из папки /install обычно используются при первоначальной настройке платформы. Администраторы запускают их один раз и часто забывают удалить или заблокировать этот каталог после завершения установки. Если папка остаётся публично доступной, злоумышленник может атаковать не только администраторов, но и обычных пользователей, которые заходят на сайт. Более того, сам процесс установки часто выполняется с повышенными правами, что расширяет поверхность атаки.
Проект мёртв
ATutor - это открытая система управления обучением (LMS), которая на протяжении многих лет использовалась в учебных заведениях и корпоративном секторе. Однако её разработка полностью остановлена. Авторы были уведомлены о проблемах заранее, но не ответили на запросы и не подготовили патчей. Это означает, что любая установка ATutor версии 2.2.4 остаётся уязвимой навсегда. Пользователям, которые продолжают эксплуатировать эту платформу, необходимо срочно принять меры.
Что делать
Первым делом нужно проверить, используется ли версия 2.2.4 или любая другая сборка ATutor. Если да, следует немедленно удалить или заблокировать папку /install на уровне веб-сервера. Например, через файл .htaccess можно добавить правило, запрещающее доступ к этому каталогу. Также стоит убедиться, что ни один из скриптов внутри /install не выполняется без необходимости.
Однако эти меры лишь временные. Поскольку проект больше не поддерживается, рано или поздно появятся и другие уязвимости. Лучший выход - мигрировать на альтернативное решение. На рынке есть активно развивающиеся LMS: Moodle, Canvas, Chamilo. Они регулярно получают обновления безопасности и имеют активное сообщество. Переход потребует времени и ресурсов, но это единственный способ гарантировать защиту данных учащихся и сотрудников.
Итог
Две уязвимости в ATutor - тревожный сигнал для тех, кто до сих пор полагается на устаревшее ПО. Отсутствие поддержки и игнорирование проблем со стороны вендора делают систему непригодной для безопасной эксплуатации. Каждая организация, использующая ATutor, должна рассматривать этот инцидент как повод для срочного перехода на поддерживаемую платформу. Любая задержка увеличивает риск компрометации: злоумышленники уже знают об этих уязвимостях и могут начать их массовую эксплуатацию.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-6909
- https://www.cve.org/CVERecord?id=CVE-2026-6956
- https://cert.pl/en/posts/2026/05/CVE-2026-6909
