29 мая 2026 года стали известны данные о двух уязвимостях в системе управления контентом QuickCMS от компании OpenSolution. Одна из них, CVE-2026-33384 (идентификатор уязвимости), связана с фиксацией сессии (session fixation), а вторая, CVE-2026-33386, - с межсайтовым скриптингом (XSS), который реализуется через атаку "человек посередине" (MITM). Обе проблемы были устранены в патче к версии 6.8, выпущенном ещё 15 мая, однако развёртывания, которые не применили это обновление, остаются под угрозой. Разберёмся, чем опасны данные неполадки и почему их нельзя игнорировать.
Контекст: кто использует QuickCMS
QuickCMS - это популярная среди небольших сайтов и интернет-магазинов система управления контентом. Она отличается простотой установки и настройки, поэтому её выбирают владельцы проектов, которым не нужна сложная корпоративная инфраструктура. Учитывая широкую распространённость CMS - по данным OpenSolution, она используется на нескольких десятках тысяч доменов, - проблемы безопасности затрагивают значительное число ресурсов. При этом обе уязвимости имеют низкий или средний уровень опасности по шкале CVSS (Common Vulnerability Scoring System - стандарт оценки серьёзности уязвимостей), но в сочетании с другими атаками могут привести к серьёзным последствиям.
Уязвимость фиксации сессии: как злоумышленник крадёт учётку
Первая уязвимость, CVE-2026-33384, заключается в том, что QuickCMS позволяет устанавливать идентификатор сессии (уникальную метку, которая привязывается к браузеру пользователя) до момента аутентификации. Более того, этот идентификатор остаётся неизменным и после того, как человек вводит логин и пароль. Такое поведение - классическая ошибка, известная как фиксация сессии (session fixation).
Как это работает в реальном сценарии? Допустим, злоумышленник хочет получить доступ к учётной записи администратора сайта. Он создаёт на своём компьютере сессию со специально подобранным идентификатором, а затем заставляет жертву перейти по ссылке, которая передаёт этот идентификатор в браузер. Например, это может быть подставная ссылка вида "http://quickcms.example.com/?PHPSESSID=вредный_код". Если жертва нажимает на неё, её сессия привязывается к тому же идентификатору, который контролирует атакующий. После того как жертва вводит свои учётные данные на сайте, сессия становится авторизованной - и злоумышленник, используя тот же идентификатор, мгновенно получает доступ к аккаунту жертвы.
Последствия такой атаки очевидны: злоумышленник может загрузить вредоносные файлы, изменить содержимое сайта, украсть данные пользователей или установить другие вредоносные расширения. При этом жертва даже не заметит подмены, ведь со стороны сессия выглядит абсолютно легитимной.
Согласно данным из CVE, уязвимость затрагивает все версии QuickCMS с 0 по 6.8 включительно. Ей присвоен средний уровень опасности (4,8 балла по 10-балльной шкале CVSS 4.0). Основной риск - атака требует локального доступа к системе, то есть злоумышленник должен заставить пользователя перейти по вредоносной ссылке. Однако на практике такие ссылки могут распространяться через фишинговые письма или подставные объявления.
XSS через MITM: вредоносные плагины из поддельного источника
Вторая уязвимость, CVE-2026-33386, ещё более нестандартна. QuickCMS получает список доступных плагинов с сервера opensolution.org по незащищённому протоколу HTTP. Это означает, что передаваемые данные не шифруются и не проверяются на подлинность. Атакующий, находящийся в одной сети с жертвой, может выдать себя за сервер opensolution.org и подменить ответ - например, отправить произвольный HTML-код или JavaScript-скрипт.
Когда администратор сайта заходит на страницу установки плагинов, браузер автоматически загружает этот подставной список и исполняет вредоносный код. Такой тип атаки называется "человек посередине" (MITM). Злоумышленнику достаточно находиться в той же локальной сети (например, в общественном Wi-Fi или в корпоративной сети компании) или перехватить трафик на уровне провайдера.
Уязвимость относится к классу XSS - межсайтовый скриптинг (внедрение произвольного кода в страницу). Однако механизм здесь необычный: код поставляется не через форму ввода или URL, а через подделку внешнего источника данных. Это делает защиту стандартными методами фильтрации ввода неэффективной - нужно исправлять сам процесс получения плагинов.
По шкале CVSS 4.0 эта уязвимость оценена всего в 2,3 балла - как низкая. Это связано с тем, что атака требует сложных условий: злоумышленнику нужно находиться рядом с жертвой в локальной сети, а также уметь перехватывать трафик. Однако на практике такие сценарии встречаются, например, в гостиницах, аэропортах или офисах, где используется общий Wi-Fi. К тому же, если вредоносный код выполняется в браузере администратора, он может получить неограниченный доступ ко всем функциям сайта, включая управление пользователями и файловую систему.
Исправление и рекомендации
Обе уязвимости были устранены в патче к версии 6.8, опубликованном 15 мая 2026 года. Разработчики, судя по всему, исправили и механизм фиксации сессии (возможно, добавили принудительную смену идентификатора после входа), и перевели запрос списка плагинов на защищённый протокол HTTPS с проверкой сертификата. Однако старые версии, не получившие обновления, остаются под угрозой.
Что следует сделать владельцам сайтов на QuickCMS? В первую очередь - убедиться, что используется версия 6.8 или новее. Если по каким-то причинам обновление невозможно, рекомендуется отключить автоматическую загрузку плагинов или перенаправить запросы на локальный сервер с проверенными файлами. Также стоит усилить контроль за сессиями: включить принудительное завершение старых сессий при входе и использовать дополнительные механизмы защиты, например, проверку User-Agent или IP-адреса.
Поскольку обе уязвимости были опубликованы только 29 мая, а патч выпущен ещё 15 мая, можно предположить, что часть администраторов уже успела обновиться. Однако те, кто не следит за новостями безопасности, всё ещё рискуют. В сочетании эти две проблемы могут дать злоумышленнику полный контроль над сайтом - сначала через XSS он внедряет скрипт, а затем использует фиксацию сессии для перехвата аккаунта. Синергия подобных атак известна, и специалистам по защите информации стоит обратить на неё внимание.
Вывод
Уязвимости в QuickCMS - ещё одно напоминание о том, что даже простые системы управления контентом требуют регулярного обновления и внимания к базовым принципам безопасности. Фиксация сессии и XSS через MITM - старые техники, но они по-прежнему актуальны из-за небрежности разработчиков и администраторов. Пользователям рекомендуется проверить версию своего движка и применить патч, а также использовать HTTPS для всех соединений и внедрять защиту от фиксации сессии на уровне сервера. В противном случае сайт может оказаться под контролем злоумышленников, а его посетители - жертвами фишинга или кражи данных.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-33386
- https://www.cve.org/CVERecord?id=CVE-2026-33384
- https://opensolution.org/home.html
