Архив метки: TrueConf

Сентябрьский "В тренде VM": уязвимости в архиваторах WinRAR и 7-Zip, SAP NetWeaver и TrueConf Server

Сентябрьский "В тренде VM": уязвимости в архиваторах WinRAR и 7-Zip, SAP NetWeaver и TrueConf Server. Традиционная ежемесячная подборка. И первая подборка БЕЗ уязвимостей в продуктах Microsoft! 😲🙂

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

Всего восемь идентификаторов трендовых уязвимостей в четырёх продуктах:

🔻 Remote Code Execution - WinRAR (CVE-2025-6218, CVE-2025-8088). Эксплуатируемая RCE при распаковке архивов.
🔻 Remote Code Execution - SAP NetWeaver (CVE-2025-31324, CVE-2025-42999). Эксплуатируемая RCE в компоненте популярной ERP-системы.
🔻 Remote Code Execution - 7-Zip (CVE-2025-55188). Преимущественно Linux-овая RCE при распаковке архивов, есть публичный эксплойт.
🔻 Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114). Критичные уязвимости популярной российской ВКС.

Про уязвимость Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114)

Добавить комментарий

Про уязвимость Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114). TrueConf Server - популярный российский корпоративный мессенджер и ВКС-система. Цепочка критических уязвимостей в TrueConf Server была обнаружена экспертом PT SWARM Никитой Петровым:

🔻 Уязвимость BDU:2025-10114 связана с недостаточным контролем доступа и позволяет злоумышленнику делать запросы к некоторым административным эндпоинтам без проверки прав и аутентификации.

🔻 Уязвимость BDU:2025-10115 позволяет злоумышленнику осуществить чтение произвольных файлов в системе.

🔻 Самая критичная - BDU:2025-10116 позволяет потенциальному злоумышленнику внедрить и выполнить произвольные команды ОС.

⚙️ Обновления безопасности вышли 27 августа 2025 года.

👾🛠 Признаков эксплуатации вживую и публичных эксплоитов пока нет.

🌐 По данным Positive Technologies, только в России насчитывается более 7000 инсталляций TrueConf Server.

Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: TrueConf

Сентябрьский "В тренде VM": уязвимости в архиваторах WinRAR и 7-Zip, SAP NetWeaver и TrueConf Server

Про уязвимость Remote Code Execution - TrueConf Server (BDU:2025-10116, BDU:2025-10115, BDU:2025-10114)