Хабр, привет! На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили еще 4 трендовые уязвимости.

Уязвимость в ядре Windows, связанная с повышением привилегий — PT-2025-46508 (CVE-2025-62215)

Уязвимость в библиотеках expr-eval и expr-eval-fork, связанная с удаленным выполнением кода — PT-2025-45064 (CVE-2025-12735)

Уязвимость в Control Web Panel, связанная с удаленным выполнением кода — PT-2025-26757 (CVE-2025-48703)

Внедрение SQL-кода во фреймворке Django — PT-2025-45119 (CVE-2025-64459)

По традиции начнем с уязвимости Windows.

Уязвимость в ядре Windows, связанная с повышением привилегий 

? PT-2025-46508 (CVE-2025-62215, оценка по CVSS — 7,0, высокий уровень опасности)

Уязвимость из ноябрьского Microsoft Patch Tuesday. Эксплуатация уязвимости позволяет локальному злоумышленнику получить привилегии SYSTEM. Причина уязвимости — Race Condition (CWE-362) и двойное освобождение памяти (CWE-415).

⚙️ Доступны обновления для Windows 10/11 и Windows Server 2019/2022/2025.

? Microsoft сообщили об эксплуатации уязвимости в реальных атаках 11 ноября в рамках MSPT, и на следующий день уязвимость добавили в CISA KEV. Подробностей по атакам пока нет.

? Публичные эксплоиты доступны на GitHub с 18 ноября.

Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости. Кроме того, CISA добавило уязвимость в каталог KEV как активно эксплуатируемую.

Публично доступные эксплойты: был опубликован PoC.

Количество потенциальных жертв: уязвимость, учитывая данные The Verge, потенциально может затрагивать около миллиарда устройств. Последствия могут коснуться всех пользователей устаревших версий Windows. 

Способы устранения, компенсирующие меры: установить обновления безопасности, которые представлены на официальном сайте Microsoft.

Уязвимость в библиотеках expr-eval и expr-eval-fork, связанная с удаленным выполнением кода

? PT-2025-45064 (CVE-2025-12735, оценка по CVSS — 9,8, критический уровень опасности)

Expr-eval — это JavaScript-библиотека для парсинга и вычисления математических выражений, обеспечивающая безопасную обработку пользовательских переменных. Она используется в онлайн-калькуляторах, учебных программах, инструментах для моделирования, финансовых приложениях, системах ИИ и обработки естественного языка (NLP). Уязвимость, связанная с недостаточной проверкой входных данных, может привести к выполнению произвольного JavaScript-кода в контексте приложения.

? Уязвимость была выявлена 5 ноября. PoC на GitHub доступен с 11 ноября.

⚙️ Пока уязвимость находится в процессе устранения в основном (фактически заброшенном ?‍♂️) проекте expr-eval, и не полностью устранена в его форке expr-eval-fork. Безопасные версии должны появиться в соответствующей GHSA.

? Библиотека популярная. У expr-eval 800к скачиваний в неделю на npm, у expr-eval-fork - 88к.

? Признаков эксплуатации вживую пока нет.

Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.

Публично доступные эксплойты: был опубликован PoC. 

Количество потенциальных жертв: как сообщает Bleeping Computer, еженедельно библиотеку expr-eval загружают на NPM более 800 тысяч раз, а ее форк expr-eval-fork имеет более 80 тысяч еженедельных загрузок в реестре пакетов NPM. 

Способы устранения, компенсирующие меры: в проекте expr-eval уязвимость находится в процессе исправления, в форке expr-eval-fork она не полностью устранена. Безопасные версии должны появиться в соответствующей GHSA.

Уязвимость в Control Web Panel, связанная с удаленным выполнением кода 

? PT-2025-26757 (CVE-2025-48703, оценка по CVSS — 9,0, критический уровень опасности)

Control Web Panel (CWP) — это бесплатная панель управления веб-хостингом для RPM-based дистрибутивов. Это веб-приложение позволяет удобно настраивать и контролировать веб-серверы (Apache, NGINX), базы данных (MySQL, MariaDB), почтовые системы (Postfix, Dovecot, Roundcube), DNS (BIND) и средства безопасности (CSF, ModSecurity).

? Суть уязвимости: в запросе changePerm модуля filemanager есть параметр t_total, значение которого без достаточной проверки используется в качестве аргумента системной команды chmod.  Это позволяет неаутентифицированному злоумышленнику выполнять произвольные shell-команды на сервере CWP.

⚙️ Уязвимость исправлена в версии 0.9.8.1205, вышедшей 18 июня 2025 года.

? Через четыре дня, 22 июня, вышел подробный write-up c описанием эксплуатации. А чуть позже появились и эксплоиты на GitHub.

? 4 ноября уязвимость добавили в CISA KEV.

? Shodan видит в Интернете около 220 000 инсталляций CWP.

Признаки эксплуатации: CISA добавило уязвимость в каталог KEV как активно эксплуатируемую.

Публично доступные эксплойты: был опубликован PoC. 

Количество потенциальных жертв: по данным Shodan, насчитывается более 220 000 экземпляров CWP, подключенных к интернету. 

Способы устранения, компенсирующие меры: необходимо обновить CWP до версии 0.9.8.1205 или более поздней. 

Внедрение SQL-кода во фреймворке Django

? PT-2025-45119 (CVE-2025-64459, оценка по CVSS — 9,1, критический уровень опасности)

Django — это бесплатный и открытый веб-фреймворк на языке Python. Уязвимость позволяет злоумышленникам манипулировать логикой запроса к базе данных, внедряя внутренние параметры запроса (_connector и _negated), когда приложения передают контролируемый пользователем ввод напрямую в вызовы filter(), exclude() или get(). Эксплуатация SQL-инъекции может привести к несанкционированному доступу к данным, обходу аутентификации или повышению привилегий.

⚙️ Уязвимость была исправлена в версиях Django 5.2.8, 5.1.14 и 4.2.26, вышедших 5 ноября 2025 года. Более ранние, неподдерживаемые версии Django (такие как 5.0.x, 4.1.x и 3.2.x) не проверялись и могут быть уязвимы.

? 6 ноября для уязвимости появился публичный эксплойт.

? Информации об эксплуатации в атаках пока нет.

? По данным 6sense, доля Django среди веб-фреймворков составляет 32 %, и он применяется более чем в 42 000 компаниях. Ful.io отслеживает более 2,9 млн веб-сайтов на Django.

Признаки эксплуатации: случаи эксплуатации уязвимости не выявлены.

Публично доступные эксплойты: был опубликован PoC. 

Количество потенциальных жертв: по данным 6sense, доля Django составляет около 33% среди веб-фреймворков, он применяется более чем в 42 тысячах компаний. Ful.io показывает более 2,9 млн веб-сайтов, использующих Django. 

Способы устранения, компенсирующие меры: необходимо обновить Django до одной из исправленных версий — 4.2.26, 5.1.14 или 5.2.8. Более ранние версии Django не проверялись и могут быть уязвимы. 

Как защититься

Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.

На этом все. До встречи в новом дайджесте трендовых уязвимостей в следующем году. Stay safe! 

Александр Леонов

Ведущий эксперт PT Expert Security Center