Разработчики WinRAR устранили уязвимость обхода каталогов, которая при определенных обстоятельствах позволяет запустить вредоносное ПО после извлечения вредоносного архива.

Уязвимость отслеживается как CVE-2025-6218 и получила оценку CVSS 7,8.

Проблема была обнаружена исследователем whs3-detonator, который сообщил о ней через Zero Day Initiative 5 июня 2025 года.

Ошибка затрагивает только Windows-версию WinRAR, начиная с 7.11 и более ранние версий.

Исправление было выпущено в рамках WinRAR 7.12 beta 1, которая на днях стала доступна.

Согласно журналу изменений, при извлечении файла предыдущие версии WinRAR, RAR для Windows, UnRAR, исходный код переносимого UnRAR и UnRAR.dll могут использовать путь, определенный в специально созданном архиве, вместо указанного пользователем пути.

Вредоносный архив может содержать файлы со специально созданными относительными путями, заставляющими WinRAR «скрыто» извлекать их в конфиденциальные места, такие как системные каталоги и папки автозапуска.

В случае, если содержимое архива включает вредоносный контент, эти файлы могут запуститься автоматически и вызвать выполнение кода при следующем входе пользователя в Windows.

Правда, все это будет реализовано с доступом на уровне пользователя (не с правами администратора или SYSTEM), но кража конфиденциальных данных из браузера будет возможна.

Кроме того, это позволит задействовать механизмы сохранения или обеспечить удаленный доступ для дальнейшего горизонтального перемещения.

Вместе с тем, эксплуатация CVE-2025-6218 требует взаимодействия с пользователем, например открытие вредоносного архива или посещение специально созданной страницы.

Однако с учетом повсеместной практики использования пользователями старых версии WinRar и наличия множества способов распространения вредоносных архивов, связанные с CVE-2025-6218 риски можно квалифицировать как очень высокие.

Помимо CVE-2025-6218, WinRAR 7.12 beta 1 также устраняет проблему HTML-инъекции при генерации отчетов, когда имена архивных файлов, содержащие <или>, могли быть внедрены в HTML-отчет как необработанные HTML-теги, что приводило к внедрению HTML/JS в браузере.

Еще два незначительных недостатка, исправленных в последней версии WinRAR, включают неполное тестирование томов восстановления и потерю точности временных меток для записей Unix.

В настоящее время сообщений об эксплуатации CVE-2025-6218 нет, но, учитывая широкое распространение WinRAR по всему миру и давнюю любовь киберподполья к этому ПО, пользователям следует немедленно обновиться до последней версии.

Намечается новая атака на цепочку мудаков, на этот раз числа пользователей NetScaler ADC и NetScaler Gateway, которая в последние дни столкнулась сразу с двумя критическими проблемами, одну из которых уже окрестили как Citrix Bleed 2.

Упомянутая CVE-2025-5777 обусловлена недостаточной проверкой входных данных, что позволяет неавторизованным злоумышленникам получать доступ к ограниченным областям памяти.

Схожая предыдущая уязвимость тогда получила CitrixBleed и попала под активную эксплуатацию в 2023 году со стороны банд вымогателей.

Успешная эксплуатация CVE-2025-5777 позволяет красть токены сеансов, учетные данные и другие конфиденциальные данные с общедоступных шлюзов и виртуальных серверов, и по итогу - перехватывать сеансы пользователей и обходить MFA.

В своем бюллетене от 17 июня компания Citrix предупредила клиентов о необходимости завершить все активные сеансы ICA и PCoIP после обновления всех устройств NetScaler до исправленной версии для блокировки потенциальных атак.

В свою очередь, аналитики Shadowserver Foundation обнаружили в глобальной сети более 1200 устройств, которые по-прежнему остаются уязвимыми для атак с использованием CVE-2025-5777.

Несмотря на то, что официальных упоминаний об эксплуатации в дикой природе со стороны Citrix не последовало, исследователи ReliaQuest в прошлый четверг все же задетектили CVE-2025-5777 в целевых атаках.

ReliaQuest выявила артефакты, указывающие на активность после несанкционированного доступа Citrix, включая перехваченный веб-сеанс, указывающий на успешную попытку обхода MFA, повторное использование сеанса на нескольких IP-адресах и запросы LDAP, связанные с Active Directory.

Помимо этого Shadowserver также сообщает, что более 2100 устройств NetScaler не имеют исправлений для другой критической CVE-2025-6543, которая также теперь задействуется в атаках типа DoS.

Учитывая особую привлекательность Citrix Bleed 2 для киберподполья, представленные Shadowserver цифры в ближайшей перспективе начнут трансформироваться в инциденты. Будем следить.

CISA предупреждает о критических уязвимостях обхода аутентификации и удаленного выполнения, влияющих на NMP Web+ немецкой компании Microsens, которые могут быть использованы хакерами для проведения удаленных атак на организации.

Microsens реализует широкий спектр решений для автоматизации промышленных предприятий, включая коммутаторы, преобразователи, контроллеры и трансиверы.

Упоминаемый NMP Web+ обеспечивает пользователям управление, контроль и настройку промышленных коммутаторов и другого сетевого оборудования Microsens.

Критические уязвимости могут быть использованы неаутентифицированным злоумышленником для создания поддельных JSON Web Tokens и обхода аутентификации (CVE-2025-49151), а также для перезаписи файлов и выполнения произвольного кода (CVE-2025-49153).

Проблема высокой степени серьезности связана с тем, что JSON Web Tokens не имеют срока действия. Обнаружение приписывается исследователям из команды Team82 компании Claroty, которые полагают, что злоумышленник может объединить эти уязвимости в цепочку.

Одну уязвимость можно использовать для получения действительного токена аутентификации, который обеспечивает доступ к целевой системе, в то время как вторая ошибка позволяет перезаписывать критически важные файлы на сервере.

Обе уязвимости в совокупности позволяют злоумышленнику и получить полный контроль над системой на уровне ОС без необходимости иметь какие-либо предварительные учетные данные для доступа к серверу.

Исследователи Claroty отмечают, что для эксплуатации уязвимостей злоумышленнику необходим доступ к веб-серверу, связанному с целевым экземпляром Microsens NMP Web+.

При этом таковые, согласно результатам сканирования, имеются.

CISA не располагает данными о задействовании уязвимостей в реальных атаках.

Однако с учетом широкого распространения Microsens NMP Web+ по всему миру, в том числе в критически важном производственном секторе, следует накатить обновления (версия 3.3.0 для Windows и Linux).

Летний лагерь по Ansible 📚

Мы научим вас работать с Ansible, чтобы вы смогли настроить автоматизацию, упростить командную работу, масштабировать в одно касание и экономить время.

Это не просто курс, а интерактивный летний лагерь. В нем вас ждет не только освоение Ansible, но и:

🔸 разбор реальных кейсов из вашей работы;
🔸 обмен опытом с единомышленниками в нетворкинг-чате;
🔸 сореванования с другими участниками;
🔸 истории спикеров курса об их рабочих факапах и о том, как они их решали.

Доп. бонус к программе: мощный технический воркшоп «Использование ИИ в работе» с экспертом 🎁

Запускаем только один поток обучения в подобном формате. Старт 21 июля.
Успевайте! Все подробности тут ⬅️

DevOps и SRE: конкуренты или союзники в борьбе за надёжность?

Где заканчивается зона ответственности DevOps-инженера и начинается область контроля SRE?

Приглашаем на открытый урок, где разберём разницу между подходами DevOps и SRE, особенно — в контексте Service Level Indicators (SLI), Service Level Objectives (SLO) и Service Level Agreements (SLA).

✅ Вы узнаете, как эти практики помогают создавать надёжную платформу и кто за что отвечает в команде.

📌 Обсудим как DevOps и SRE трактуют «качество платформы». И кто за какими метриками следит: производительность, аптайм, алерты, ошибки

⬆️ Протестируй курс «SRE практики и инструменты» на открытом уроке:
https://tglink.io/c2f474255678?erid=2W5zFGc1dLL

#реклама
О рекламодателе

Уязвимость плагина Forminator WordPress позволяет злоумышленникам удалять произвольные файлы и получить контроль потенциально над более чем 400 000 уязвимых веб-сайтами.

Forminator - популярный плагин для создания форм, имеющий более 600 000 активных установок. Он поддерживает различные типы форм, включая контактные и платежные, опросы и многое другое.

Упоминаемая CVE-2025-6463 (оценка CVSS 8,8) представляет собой ошибку произвольного удаления файлов, существующую из-за того, что пути к файлам недостаточно проверяются в функции, используемой для удаления загруженных файлов отправки формы.

Исследователь, обнаруживший ошибку и сообщивший о ней через Wordfence Bug Bounty Program, получил вознаграждение в размере 8100 долларов США.

По данным Defiant, функция, которую Forminator использует для сохранения полей ввода форм в базу данных, не выполняет надлежащую очистку значений в поле, что позволяет злоумышленникам отправлять массивы файлов в поля формы.

Кроме того, функция, отвечающая за удаление файлов, отправленных через форму, при удалении формы не выполняет необходимые проверки типа поля, расширения файла и ограничений каталога загрузки.

Уязвимость может быть использована неавторизованными злоумышленниками для указания произвольных файлов на сервере, которые будут удалены при удалении формы, вручную или автоматически, в зависимости от настроек установки.

Как отмечают в Defiant, злоумышленники могут указать файл wp-config.php для удаления, в результате чего сайт перейдет в состояние настройки, что позволит злоумышленнику получить контроль над ним.

Несмотря на то, что для эксплуатации уязвимости требуется этап пассивного или активного взаимодействия, исследователи полагают, что удаление отправленной формы является весьма вероятной ситуацией, что делает эту уязвимость весьма привлекательной для злоумышленников.

CVE-2025-6463 была устранена в версии Forminator 1.44.3 с добавлением проверки пути к файлу в функцию удаления, которая теперь удаляет только файлы, загруженные через поля формы, имеющие метку «загрузка» или «подпись» и помещенные в каталог загрузок WordPress.

Исправленная версия плагина была выпущена 30 июня.

При этом телеметрия WordPress показывают, что за последние два дня ее загрузили менее 200 000 раз, что говорит о том, что уязвимыми остаются более 400 000 сайтов.

Учитывая риск, который представляет CVE-2025-6463, пользователям рекомендуется как можно скорее обновить свои установки Forminator до последней версии.

🔐 SOC. Основы 🚨

🔥8 июля в 20:00 мск. приглашаем на открытый вебинар в OTUS.

Что мы обсудим:
- Назначение и функции центров мониторинга.
- Типы и роли SOC.
- Зоны ответственности аналитиков SOC.
- Основной инструментарий для работы SOC.

🎓После вебинара вы:
- Узнаете, какие задачи решают центры мониторинга и для чего они предназначены.
- Поймете, какие модели функционирования SOC существуют.
- Научитесь, какие функции выполняют аналитики.
- Познакомитесь с основными инструментами для мониторинга и реагирования на инциденты.

Присоединяйтесь и начните понимать, как работает защита на самом глубоком уровне!

👉 Регистрация

Бесплатное занятие приурочено к старту курса "Аналитик SOC". Курс позволит прокачать многие профессиональные навыки, такие как, работу с современными инструментами (SIEM, Wireshark), навыки выявления аномалий, анализ трафика, а также умение реагировать на инциденты и проводить threat hunting.

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576