Лето в разгаре, но хакеры не в отпуске: пока одни греются на пляжах, другие находят дыры в популярном софте. В этой подборке: скандал с фейковым ИИ, опасные уязвимости в серверных системах и новые угрозы для сайтов.
Уязвимости в DHCP-сервере Kea и IMAP-сервере Cyrus
В DHCP-сервере Kea (разрабатываемом ISC) обнаружены критические уязвимости:
- CVE-2025-32801 – позволяет локальному пользователю выполнить произвольный код с правами root через REST API (kea-ctrl-agent), отправляя команду set-config для загрузки вредоносной библиотеки.
- CVE-2025-32802 – даёт возможность перезаписать любой файл в системе через команду config-write в REST API.
- CVE-2025-32803 – логи и файлы аренды IP-адресов доступны для чтения всем пользователям.
Kea по умолчанию запускается от root в Arch Linux, Gentoo, openSUSE Tumbleweed (до 23 мая), FreeBSD и NetBSD. В Debian, Ubuntu и Fedora используется непривилегированный пользователь.
Дополнительно: В openSUSE обнаружена уязвимость (CVE-2025-23394) в IMAP-сервере Cyrus, позволяющая пользователю cyrus повысить привилегии до root через скрипт daily-backup.sh. Проблема устранена в версии cyrus-imapd 3.8.4-2.1.
Обновления уже выпущены для большинства дистрибутивов.
ИИ “Natasha” оказался обычными индийскими программистами, а его создатели — банкротами
В конце мая британская компания Builder.ai, имеющая крупные филиалы в пяти государствах, объявила об обращении в суд, чтобы защитить себя от банкротства.
Эта компания привлекла внимание общественности своим уникальным подходом к разработке программного обеспечения с помощью искусственного интеллекта Natasha AI, который был создан для написания кода по запросам клиентов, освобождая заказчиков от необходимости писать код самостоятельно. Однако позже стало известно, что код писали реальные программисты, а искусственный интеллект был лишь прикрытием сомнительного ведения бизнеса.
Несмотря на разоблачение The Wall Street Journal в 2019 году, инвесторы продолжали вкладывать в компанию миллионы. В 2023 году Microsoft даже рассматривала интеграцию стартапа Builder.ai в свои сервисы.
В феврале 2025 новое руководство заявило, что проблемы компании вызваны не ИИ, а плохим финансовым управлением. А в мае кредитор Viola Credit заморозил значительную часть средств на счетах Builder.ai. Это обрушило работу компании в пяти странах (Великобритания, США, ОАЭ, Сингапур, Индия), вынудив уволить большую часть сотрудников и подать на защиту от банкротства.
Уязвимость в cURL/libcurl
Разработчики curl выпустили обновление для устранения уязвимости средней степени опасности CVE-2025-5025. Проблема возникает при использовании TLS-библиотеки wolfSSL в сочетании с протоколом HTTP/3 и включенной функцией certificate pinning. В этих условиях злоумышленник может провести MITM-атаку, подменив сертификат сервера.
Уязвимость затрагивает только специальные сборки curl с wolfSSL, что редко встречается в стандартных дистрибутивах Linux. Основные пакеты обычно используют OpenSSL или GnuTLS и не подвержены этой проблеме. Для защиты рекомендуется обновить curl до версии 8.14.0 или новее. Пользователи могут проверить используемую TLS-библиотеку командой curl -V.
Риск эксплуатации низкий, так как атака требует выполнения нескольких специфических условий: наличие wolfSSL, использование HTTP/3 и ручное включение certificate pinning. Кроме того, злоумышленнику необходимо перехватить трафик и получить действительный сертификат. Сейчас не зафиксировано случаев реального использования этой уязвимости, поэтому для большинства пользователей угроза минимальна, но обновиться всё же рекомендуется.
Угроза для 100 000 сайтов на WordPress
Исследователи Patchstack обнаружили критическую уязвимость (CVE-2025-47577, 10/10 по CVSS) в плагине TI WooCommerce Wishlist, который установлен более чем на 100 000 сайтов. Проблема позволяет загружать произвольные файлы без авторизации.
Функция tinvwl_upload_file_wc_fields_factory некорректно проверяет загружаемые файлы из-за отключенных параметров test_form и test_type. Это позволяет загружать файлы любого типа, включая вредоносные PHP-скрипты. Для этого должен быть активен плагин WC Fields Factory и включена интеграция с TI WooCommerce Wishlist.
Плагин предназначен для создания списков желаний и их публикации в соцсетях, что делает его популярным среди WooCommerce-сайтов.
Поскольку обновления пока нет, единственный способ защиты — полное отключение уязвимого плагина. Владельцам интернет-магазинов следует предпринять меры немедленно.
Критические уязвимости в vBulletin
В популярном движке форумов vBulletin обнаружены две опасные уязвимости (CVE-2025-48827 и CVE-2025-48828, оценка 9/10). Одна из них уже активно используется злоумышленниками. Баги затрагивают версии 5.0.0-5.7.5 и 6.0.0-6.0.3 на PHP 8.1+.
Суть угрозы в том, что через API можно вызывать защищённые методы, а ошибки в обработке шаблонов позволяют выполнить произвольный код. Исследователь EgiX показал, как это работает: уязвимость в replaceAdTemplate обходит фильтры, давая хакерам шелл-доступ.
Фактически эти уязвимости были закрыты в прошлогодних обновлениях: PL1 для ветки 6.* и PL3 для версии 5.7.5. Однако из-за того, что многие владельцы сайтов не обновили свои системы, угроза остается актуальной.
Возможно, вам будет интересно
