Агентство по кибербезопасности и защите инфраструктуры США (CISA) официально подтвердило факт активной эксплуатации пяти новых уязвимостей в продуктах крупных технологических компаний. Эти недостатки безопасности были внесены в каталог известных эксплуатируемых уязвимостей (KEV), что обязывает федеральные ведомства США устранить их в срок до 10 ноября 2025 года для защиты государственных сетей.
Одна из ключевых угроз, CVE-2025-61884, затрагивает Oracle E-Business Suite (EBS). Данная уязвимость типа Server-Side Request Forgery (SSRF) в компоненте Oracle Configurator получила оценку 7.5 (высокая) по шкале CVSS и позволяет злоумышленникам получать несанкционированный доступ к критически важным данным. В CISA подчеркнули: «Эта уязвимость может быть удаленно эксплуатирована без аутентификации».
Эта проблема в Oracle EBS является уже второй активно используемой хакерами, наряду с критической уязвимостью CVE-2025-61882 с оценкой 9.8, которая допускает произвольное выполнение кода. Старший инженер по безопасности компании GTIG, Зандер Уорк, предположил возможную связь этих атак с известной группировкой. По его словам, «вероятно, что по крайней мере часть наблюдаемой нами активности по эксплуатации проводилась субъектами, которые сейчас занимаются операциями по вымогательству под брендом Cl0p».
В список также вошла уязвимость в Microsoft Windows с идентификатором CVE-2025-33073 и оценкой 8.8 (высокая). Проблема некорректного контроля доступа в клиенте Windows SMB позволяет повысить привилегии в системе. Уязвимость была устранена корпорацией Microsoft в июне 2025 года, а детали ее работы были раскрыты исследователями из компании Synacktiv.
Две критические уязвимости с одинаковой оценкой 9.8 по шкале CVSS были обнаружены в системе управления контентом Kentico Xperience. Обе позволяют обойти аутентификацию, предоставляя злоумышленнику контроль над административными объектами. Первая, CVE-2025-2746, эксплуатирует механизм обработки паролей для пустых имен пользователей SHA1 на сервере синхронизации.
Вторая уязвимость в Kentico Xperience, CVE-2025-2747, также позволяет обойти аутентификацию через сервер синхронизации, но уже путем эксплуатации обработки паролей для определенного сервером типа «None». Обе проблемы были устранены разработчиком в марте 2025 года, а технические подробности предоставила компания watchTowr Labs.
Последняя добавленная уязвимость, CVE-2022-48503, затрагивает компонент JavaScriptCore от Apple. Недостаток, связанный с некорректной проверкой индекса массива, оценивается в 8.8 (высокая) и может привести к произвольному выполнению кода при обработке веб-контента. Apple исправила эту проблему еще в июле 2022 года.
Изображение носит иллюстративный характер
Одна из ключевых угроз, CVE-2025-61884, затрагивает Oracle E-Business Suite (EBS). Данная уязвимость типа Server-Side Request Forgery (SSRF) в компоненте Oracle Configurator получила оценку 7.5 (высокая) по шкале CVSS и позволяет злоумышленникам получать несанкционированный доступ к критически важным данным. В CISA подчеркнули: «Эта уязвимость может быть удаленно эксплуатирована без аутентификации».
Эта проблема в Oracle EBS является уже второй активно используемой хакерами, наряду с критической уязвимостью CVE-2025-61882 с оценкой 9.8, которая допускает произвольное выполнение кода. Старший инженер по безопасности компании GTIG, Зандер Уорк, предположил возможную связь этих атак с известной группировкой. По его словам, «вероятно, что по крайней мере часть наблюдаемой нами активности по эксплуатации проводилась субъектами, которые сейчас занимаются операциями по вымогательству под брендом Cl0p».
В список также вошла уязвимость в Microsoft Windows с идентификатором CVE-2025-33073 и оценкой 8.8 (высокая). Проблема некорректного контроля доступа в клиенте Windows SMB позволяет повысить привилегии в системе. Уязвимость была устранена корпорацией Microsoft в июне 2025 года, а детали ее работы были раскрыты исследователями из компании Synacktiv.
Две критические уязвимости с одинаковой оценкой 9.8 по шкале CVSS были обнаружены в системе управления контентом Kentico Xperience. Обе позволяют обойти аутентификацию, предоставляя злоумышленнику контроль над административными объектами. Первая, CVE-2025-2746, эксплуатирует механизм обработки паролей для пустых имен пользователей SHA1 на сервере синхронизации.
Вторая уязвимость в Kentico Xperience, CVE-2025-2747, также позволяет обойти аутентификацию через сервер синхронизации, но уже путем эксплуатации обработки паролей для определенного сервером типа «None». Обе проблемы были устранены разработчиком в марте 2025 года, а технические подробности предоставила компания watchTowr Labs.
Последняя добавленная уязвимость, CVE-2022-48503, затрагивает компонент JavaScriptCore от Apple. Недостаток, связанный с некорректной проверкой индекса массива, оценивается в 8.8 (высокая) и может привести к произвольному выполнению кода при обработке веб-контента. Apple исправила эту проблему еще в июле 2022 года.
