Агентство по кибербезопасности и защите инфраструктуры США (CISA) в минувший четверг обновило свой каталог известных эксплуатируемых уязвимостей (KEV), добавив в него четыре новые позиции. Основанием для этого решения стали подтвержденные доказательства активной эксплуатации данных брешей в безопасности в реальных условиях. Регулятор требует оперативного реагирования на возникшие угрозы для обеспечения защиты информационных систем.
Первая уязвимость затрагивает Synacor Zimbra Collaboration Suite (ZCS) и отслеживается под идентификатором CVE-2025-68645. Это проблема удаленного включения файлов PHP, при которой злоумышленник формирует специальные запросы к конечной точке
Второй добавленной угрозой стала критическая ошибка в платформе Versa Concerto SD-WAN Orchestration Platform, получившая идентификатор CVE-2025-34026 и высокую оценку по шкале CVSS — 9.2 балла. Уязвимость классифицируется как обход аутентификации, что позволяет атакующим получать несанкционированный доступ к административным конечным точкам системы. Производитель устранил эту проблему в апреле 2025 года, выпустив версию 12.2.1 GA.
Третья уязвимость, CVE-2025-31125, обнаружена в инструменте Vite Vitejs и имеет оценку CVSS 5.3. Ненадлежащий контроль доступа позволяет возвращать содержимое произвольных файлов в браузер при использовании векторов
Четвертая позиция в каталоге, CVE-2025-54313, связана с пакетом eslint-config-prettier и получила оценку CVSS 7.5. Данная уязвимость представляет собой внедрение вредоносного кода, приводящее к выполнению вредоносной DLL, получившей название Scavenger Loader. Этот вредонос функционирует как похититель информации (info stealer). Информация об инциденте впервые появилась в июле 2025 года.
Проблема с CVE-2025-54313 является частью масштабной атаки на цепочку поставок, направленной на экосистему npm. Всего было скомпрометировано семь пакетов: eslint-config-prettier, eslint-plugin-prettier, synckit, @pkgr/core, napi-postinstall, got-fetch и is. Злоумышленники реализовали фишинговую кампанию, нацеленную на сопровождающих пакетов, под предлогом проверки адресов электронной почты для «регулярного обслуживания аккаунта». Это позволило им похитить учетные данные и опубликовать троянизированные версии программного обеспечения.
В соответствии с Обязательной оперативной директивой (BOD) 22-01, федеральные агентства исполнительной власти (FCEB) обязаны принять меры по защите своих сетей. CISA установило строгий дедлайн: все указанные уязвимости должны быть устранены до 12 февраля 2026 года. Несмотря на то, что детали эксплуатации в дикой природе подробно известны только для Zimbra (с января 2026 года), включение всех четырех пунктов в каталог KEV свидетельствует о высоком риске их использования злоумышленниками.
Изображение носит иллюстративный характер
Первая уязвимость затрагивает Synacor Zimbra Collaboration Suite (ZCS) и отслеживается под идентификатором CVE-2025-68645. Это проблема удаленного включения файлов PHP, при которой злоумышленник формирует специальные запросы к конечной точке
/h/rest. Такой вектор атаки позволяет включать произвольные файлы из каталога WebRoot без прохождения аутентификации. Исправление для данной ошибки было выпущено в ноябре 2025 года в версии 10.1.13. Согласно данным CrowdSec, попытки эксплуатации этой уязвимости фиксируются с 14 января 2026 года. Второй добавленной угрозой стала критическая ошибка в платформе Versa Concerto SD-WAN Orchestration Platform, получившая идентификатор CVE-2025-34026 и высокую оценку по шкале CVSS — 9.2 балла. Уязвимость классифицируется как обход аутентификации, что позволяет атакующим получать несанкционированный доступ к административным конечным точкам системы. Производитель устранил эту проблему в апреле 2025 года, выпустив версию 12.2.1 GA.
Третья уязвимость, CVE-2025-31125, обнаружена в инструменте Vite Vitejs и имеет оценку CVSS 5.3. Ненадлежащий контроль доступа позволяет возвращать содержимое произвольных файлов в браузер при использовании векторов
?inline&import или ?raw?import. Разработчики закрыли эту брешь в марте 2025 года. Исправления содержатся в версиях 6.2.4, 6.1.3, 6.0.13, 5.4.16 и 4.5.11. Четвертая позиция в каталоге, CVE-2025-54313, связана с пакетом eslint-config-prettier и получила оценку CVSS 7.5. Данная уязвимость представляет собой внедрение вредоносного кода, приводящее к выполнению вредоносной DLL, получившей название Scavenger Loader. Этот вредонос функционирует как похититель информации (info stealer). Информация об инциденте впервые появилась в июле 2025 года.
Проблема с CVE-2025-54313 является частью масштабной атаки на цепочку поставок, направленной на экосистему npm. Всего было скомпрометировано семь пакетов: eslint-config-prettier, eslint-plugin-prettier, synckit, @pkgr/core, napi-postinstall, got-fetch и is. Злоумышленники реализовали фишинговую кампанию, нацеленную на сопровождающих пакетов, под предлогом проверки адресов электронной почты для «регулярного обслуживания аккаунта». Это позволило им похитить учетные данные и опубликовать троянизированные версии программного обеспечения.
В соответствии с Обязательной оперативной директивой (BOD) 22-01, федеральные агентства исполнительной власти (FCEB) обязаны принять меры по защите своих сетей. CISA установило строгий дедлайн: все указанные уязвимости должны быть устранены до 12 февраля 2026 года. Несмотря на то, что детали эксплуатации в дикой природе подробно известны только для Zimbra (с января 2026 года), включение всех четырех пунктов в каталог KEV свидетельствует о высоком риске их использования злоумышленниками.
