Наиболее критическая из них связана с ошибкой в инъекции SQL, которая может позволить злоумышленникам украсть или изменить критически важные данные, — CVE-2025-13757 (CVSS 9,4). Екатерина Едемская подчеркнула, что даже аутентифицированный доступ не гарантирует безопасности, если в коде остаются «слепые зоны».
«SQL-инъекция через параметр DateSortField в логах позволяет злоумышленнику с базовыми правами получить полный контроль над БД, включая секреты. Особенно тревожно, что атака возможна через механизм логирования, этот компонент не всегда проходит стресс-тестирование наравне с основными функциями», — подчеркнула инженер-аналитик.
Помимо этого, исследователи выявили уязвимость CVE-2025-13758, которая приводит к утечке паролей в метаданных запросов. «Вместо строгого разделения на чувствительные и общие данные система передавала секреты при простом просмотре списка записей. Даже при использовании TLS это создаёт риски перехвата внутри сети. Подобные уязвимости возникают, когда проектировщики игнорируют принцип наименьшего доверия, полагая, что "внутренние" пользователи не представляют угрозы», — объяснила эксперт.
Третья проблема (CVE-2025-13765) — пример размытых привилегий: пароли почтовых сервисов становились доступны рядовым пользователям, ставя под удар всю инфраструктуру.
В свете выявленных угроз эксперт компании «Газинформсервис» Екатерина Едемская заключила: «Приоритет №1 — немедленное обновление до версий 2025.2.21 или 2025.3.9. Но также требуется глубокий аудит логов: следует искать аномальные запросы к параметру DateSortField и подозрительные обращения к почтовым API за последние полгода. Также важно сменить мастер-пароли и активировать MFA для администраторов, чтобы минимизировать ущерб, если система уже скомпрометирована. Наконец, стоит задуматься над защищённостью баз данных. Например, в СУБД Jatoba компании "Газинформсервис" пользователям доступен SQL Firewall — модуль для выявления и блокировки нетипичных SQL-запросов, обеспечивающий эффективную защиту от SQL-инъекций».
