Эксперт Positive Technologies помог устранить четыре уязвимости в бесплатной корпоративной платформе Foswiki

Эксперт PT SWARM Евгений Копытин выявил четыре уязвимости в одной из популярных опенсорсных вики-платформ для совместной работы. Компании по всему миру используют Foswiki для создания внутренних баз знаний, для управления проектами и совместного редактирования документов через веб-браузер. Найденные недостатки защиты могли бы позволить похищать конфиденциальные данные, захватывать учетные записи сотрудников и администраторов, а в ряде сценариев — получать полный контроль над сервером. Уязвимыми оказались все релизы вики-движка до 2.1.9 включительно и компонент MentionsPlugin 1.0 в его составе. Информация об угрозах была передана команде проекта в рамках политики ответственного раскрытия, безопасные версии ПО уже опубликованы.

Наибольшую угрозу представляет уязвимость, связанная с внедрением SQL-кода, в плагине MentionsPlugin, который предназначен для создания упоминаний пользователей в статьях Foswiki. До исправления недостатка PT-2025-54563 (BDU:2025-11650; оценка 7,2 балла по шкале CVSS 4.0) плагин некорректно обрабатывал ввод, что позволяло атакующему с правами обычного пользователя внедрять произвольные SQL-запросы в базу данных платформы. Теоретически успешная эксплуатация уязвимости могла бы привести к удаленному выполнению вредоносного кода (RCE) на сервере. Это означает полный захват контроля над системой с возможностью красть данные, устанавливать вредоносное ПО или проводить атаки на другие ресурсы, расположенные во внутренней сети компании.

Вторая проблема безопасности PT-2025-54564 (CVE-2025-unassigned-1; BDU:2025-11652) — хранимый межсайтовый скриптинг (stored XSS) — имеет средний уровень опасности (6,1 балла по шкале CVSS 4.0). Потенциальный злоумышленник мог бы добавить к странице на Foswiki файл, в описании которого содержался бы вредоносный скрипт, срабатывающий при попытке открыть интерфейс управления. Если после этого, например, администратор захотел бы удалить прикрепленный объект, код бы выполнился, а атакующий получил бы доступ к учетной записи администратора и его права.

Третья уязвимость PT-2025-54565 (CVE-2025-unassigned-3; BDU:2025-11654) — отраженный межсайтовый скриптинг (reflected XSS) — содержалась на страницах, отображающих историю изменений статей и параметров Foswiki. В отличие от предыдущих недостатков для ее успешной эксплуатации не потребовалось бы иметь учетные данные. Злоумышленнику достаточно было бы сформировать фишинговую ссылку с вредоносным кодом и убедить любого авторизованного пользователя перейти по ней. Загрузив страницу, браузер автоматически исполнил бы скрипт, что дало бы атакующему возможность выполнять произвольные действия от имени жертвы.

В механизме восстановления пароля был найден недостаток, относящийся к подмене содержимого (content spoofing), — PT-2025-54566 (BDU:2025-11655; оценка 5,1 балла по шкале CVSS 4.0). Успешно воспользовавшись им, злоумышленник мог бы подменить текст в автоматическом письме, которое платформа отправляет пользователю платформы Foswiki. С наибольшей вероятностью он мог бы добавить в сообщение просьбу перейти на сторонний сайт и ввести действующие логин и пароль. Таким способом атакующий смог бы напрямую получить данные для входа в аккаунты сотрудников.

«Отдельная опасность обнаруженных уязвимостей заключается в том, что с их помощью можно было бы выстроить полноценную цепочку атаки. В теории злоумышленник мог получить первоначальный доступ, затем повысить привилегии и завладеть контролем над сервером», — отмечает Евгений Копытин, специалист по анализу защищенности веб-приложений в Positive Technologies.

Для устранения возможности внедрения SQL-кода в плагине MentionsPlugin необходимо обновить его до версии 1.30. Чтобы закрыть остальные три уязвимости, требуется установить систему Foswiki не младше 2.1.11. Если такой возможности нет, эксперт Positive Technologies рекомендует отключить вышеназванный уязвимый плагин и функцию восстановления пароля. Для защиты от атак, направленных на эксплуатацию XSS-уязвимостей, можно установить расширение SecurityHeadersPlugin либо вручную настроить строгую content security policy — стандарт безопасности для веб-разработчиков, ограничивающий список источников, из которых можно загружать скрипты и другие компоненты при открытии сайта в браузере. Кроме того, критически важно проверить и ужесточить параметры безопасности используемой системы управления базами данных, чтобы минимизировать последствия потенциальных инцидентов.

Межсетевые экраны уровня веб-приложений, такие как PT Application Firewall, и системы анализа защищенности кода (PT Application Inspector) позволяют выявлять и блокировать попытки эксплуатации подобных уязвимостей. Продвинутые продукты классов NTA, NDR, например PT Network Attack Discovery (PT NAD), тоже детектируют попытки эксплуатации этих уязвимостей, а продукты класса NGFW, такие как PT NGFW, еще и блокируют их. Чтобы избежать подобных инцидентов, компаниям также необходимо использовать сетевые песочницы, такие как PT Sandbox, которые получают файлы на проверку из других средств защиты информации и могут обнаружить вредоносное ПО. Кроме того, стоит применять решения класса EDR, например MaxPatrol EDR. Они обнаруживают вредоносную активность и блокируют развитие атаки.