Декабрьский дайджест трендовых уязвимостей

По итогам анализа, проведенного экспертами Positive Technologies, мы представляем список уязвимостей, которые отнесли к трендовым. Это самые опасные недостатки безопасности, которые уже активно эксплуатируются злоумышленниками или могут быть использованы ими в ближайшее время. Рекомендуем проверить, устранены ли в вашей компании и те трендовые уязвимости, о которых мы писали в предыдущих дайджестах.

Всего в декабре мы отнесли к трендовым четыре уязвимости.

Уязвимость высокого уровня опасности PT-2025-46508 (CVE-2025-62215) была обнаружена в ядре Windows и вызвана состоянием гонки (race condition)¹. Успешная эксплуатация уязвимости позволяет локальному злоумышленнику повысить привилегии до уровня SYSTEM.

Критически опасная уязвимость PT-2025-26757 (CVE-2025-48703) затрагивает панель управления веб-хостингом CentOS Web Panel (CWP). Эксплуатация уязвимости может позволить удаленному атакующему выполнить произвольный код, что может привести к полной компрометации системы.

Еще одна уязвимость критического уровня опасности PT-2025-45064 (CVE-2025-12735) была обнаружена в библиотеках expr-eval и expr-eval-fork для Node.js, одну из которых еженедельно загружают более 800 тысяч раз. Успешная эксплуатация уязвимости позволяет злоумышленнику выполнить произвольный код.

Последняя из декабрьского списка трендовых уязвимостей — PT-2025-45119 (CVE-2025-64459) — связана с возможностью внедрения SQL-кода² и была обнаружена в популярном фреймворке для веб-приложений с открытым исходным кодом Django. Используя уязвимость, злоумышленник может получить несанкционированный доступ к данным, обойти аутентификацию или повысить привилегии.

Подробнее о перечисленных уязвимостях, случаях их эксплуатации и способах устранения читайте в дайджесте. 

PT-2025-46508 (CVE-2025-62215), оценка по CVSS — 7,0, высокий уровень опасности

Уязвимость связана с повышением привилегий в ядре Windows и вызвана состоянием гонки (race condition). Успешная эксплуатация уязвимости позволяет злоумышленнику получить привилегии SYSTEM. Это означает, что преступник может получить полный контроль над уязвимой системой. 

Вектор эксплуатации — локальный: атакующий должен получить первоначальный доступ к системе, например, при помощи фишинга или социальной инженерии или проэксплуатировав другую уязвимость. 

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Кроме того, CISA добавило уязвимость в каталог KEV как активно эксплуатируемую.

Публично доступные эксплойты: был опубликован PoC.

Количество потенциальных жертв: уязвимость, учитывая данные The Verge, потенциально может затрагивать около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows, таких как Windows 7 и Windows 8, а с октября 2025-го — и Windows 10. 

Способы устранения, компенсирующие меры: установить обновления безопасности, которые представлены на официальном сайте Microsoft.

PT-2025-26757 (CVE-2025-48703), оценка по CVSS — 9,0, критический уровень опасности

CentOS Web Panel (CWP) — это бесплатная панель управления веб-хостингом, используемая для обслуживания серверов на базе CentOS и других дистрибутивов на основе RPM³. Уязвимость заключается в том, что файловый менеджер filemanager некорректно обрабатывает параметр t_total, который используется в функции изменения прав доступа к файлам changePerm. Значение этого параметра передается в системную команду chmod⁴ без какой-либо фильтрации, что позволяет внедрять shell-команды. Это и создает уязвимость типа OS Command Injection (CWE-78). Эксплуатация уязвимости может позволить удаленному злоумышленнику выполнить произвольный код, что может привести к полной компрометации системы. 

Для успешной эксплуатации уязвимости аутентификация не требуется: злоумышленникам достаточно знать или угадать действительное имя пользователя без прав root. 

Признаки эксплуатации: CISA добавило уязвимость в каталог KEV как активно эксплуатируемую. 

Публично доступные эксплойты: был опубликован PoC. 

Количество потенциальных жертв: по данным Shodan, насчитывается более 220 000 экземпляров CWP, подключенных к интернету. 

Способы устранения, компенсирующие меры: необходимо обновить CWP до версии 0.9.8.1205 или более поздней. 

PT-2025-45064 (CVE-2025-12735), оценка по CVSS — 9,8, критический уровень опасности

Уязвимость была обнаружена в библиотеке JavaScript expr-eval, которая представляет собой парсер JavaScript-выражений, используемый в проектах, требующих безопасного анализа и вычисления введенных пользователем математических выражений во время выполнения. Например, она используется в онлайн-калькуляторах, инструментах моделирования, системах искусственного интеллекта и обработки естественного языка (NLP), анализирующих математические выражения из текстовых подсказок. Ошибка была обнаружена исследователем безопасности Jangwoo Choe и впервые раскрыта 4 ноября 2025 года. 

Уязвимость связана с недостаточной проверкой входных данных в функции Parser.evaluate(), что позволяет злоумышленнику передавать вредоносные объекты, которые парсер вызывает во время обработки. Эксплуатация уязвимости позволяет злоумышленнику выполнить произвольный код. Согласно сообщению CERT/CC, атакующий может получить полный контроль над поведением программного обеспечения или полный доступ ко всей информации в уязвимой системе.

Уязвимость затрагивает как исходный пакет expr-eval, так и его форк⁵ expr-eval-fork.

Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.

Публично доступные эксплойты: был опубликован PoC. 

Количество потенциальных жертв: как сообщает Bleeping Computer, еженедельно библиотеку expr-eval загружают на NPM более 800 тысяч раз, а ее форк expr-eval-fork имеет более 80 тысяч еженедельных загрузок в реестре пакетов NPM. 

Способы устранения, компенсирующие меры: в проекте expr-eval уязвимость находится в процессе исправления, в форке expr-eval-fork она не полностью устранена. Безопасные версии должны появиться в соответствующей GHSA.

PT-2025-45119 (CVE-2025-64459), оценка по CVSS — 9,1, критический уровень опасности

Уязвимость была обнаружена в популярном фреймворке с открытым исходным кодом Django, предназначенном для создания веб-приложений на языке Python. Уязвимость заключается в том, что методы QuerySet (filter(), exclude(), get()), определяющие взаимодействие с базой данных в Django, уязвимы к SQL-инъекциям (CWE-89) при использовании специально сформированного словаря в качестве аргумента параметров _connector или _negated. Эксплуатация уязвимости позволяет злоумышленнику выполнить произвольный SQL-запрос, что может привести к несанкционированному доступу к данным, обходу аутентификации или повышению привилегий.

Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.

Публично доступные эксплойты: был опубликован PoC. 

Количество потенциальных жертв: по данным 6sense, доля Django составляет около 33% среди веб-фреймворков, он применяется более чем в 42 тысячах компаний. Ful.io показывает более 2,9 млн веб-сайтов, использующих Django. 

Способы устранения, компенсирующие меры: необходимо обновить Django до одной из исправленных версий — 4.2.26, 5.1.14 или 5.2.8. Более ранние версии Django не проверялись и могут быть уязвимы. 

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости наиболее опасны и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению и защитить инфраструктуру компании. Не стоит забывать и об исправлении других уязвимостей, которые также могут нанести организации непоправимый вред. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.