4 декабря 2025 года Apache Software Foundation опубликовала advisory для критической уязвимости CVE-2025-66516 (CVSS 10.0) в Apache Tika.

Уязвимость связана с обработкой XFA-разметки внутри PDF: при парсинге Tika не ограничивает внешние XML-сущности (XXE), что позволяет специально созданному PDF-файлу читать произвольные файлы с хоста или инициировать SSRF-запросы.

Исправления присутствуют в релизе Apache Tika 3.2.2 — обновляйтесь как можно скорее.

Масштаб:
СКИПА фиксирует около 200 хостов в Рунете, использующих Apache Tika. Потенциально уязвимы 95%.
Клиенты PentOps были своевременно уведомлены.

Активная реакция:
ASF выпустила исправление XXE в Tika 3.2.2: обновлены и tika-core, и tika-parser-pdf-module.
Вендоры, встраивающие Tika в свои продукты (поисковые движки, ECM, DLP, ingestion-платформы), получили уведомления или уже включили патч.

Затронуто:
Продукт: Apache Tika (core + PDF module)
Уязвимые версии:
• tika-core 1.13 — 3.2.1
• tika-parser-pdf-module 2.0.0 — 3.2.1
• В линейке 1.x уязвимость присутствует в составе tika-parsers до 1.28.5
Важно: проблема затрагивает не только PDF-модуль — уязвим XML-парсер в составе tika-core, поэтому обновление одного PDF-модуля не закрывает дыру.

Условия эксплуатации:
• Tika обрабатывает PDF с включённым XFA.
• Парсинг выполняется автоматически.
• Tika имеет доступ к сети или локальной файловой системе.

Если система изолирует парсер в sandbox (Firejail/Docker/AppArmor) или применяет строгие сетевые ACL — риск снижается, но не исчезает.

Индикаторы компрометации:
• Ошибки или аномальные события при парсинге PDF с XFA.
• Исходящие запросы от сервисов Tika к нестандартным доменам (SSRF).
• Попытки обращения к локальным путям (file:///etc/passwd, /home/...).
• Повышенная нагрузка или неожиданные исключения в процессах «ingest/parsing».
• Логи приложений, использующих Tika, с ошибками XML-парсера или переводами в fallback-режим обработки.

Рекомендации:
1. Обновите Apache Tika до версии 3.2.2 (и обязательно обновите tika-core вместе с PDF-модулем).
2. Если оперативное обновление невозможно — временно отключите или ограничьте обработку XFA-PDF, добавьте валидацию и фильтрацию входящих документов.
3. Изолируйте Tika-процессы: sandbox, ограничение прав доступа к файловой системе, запрет исходящих запросов.
4. Проверьте зависимости в приложениях: многие продукты тянут Tika транзитивно (через search-модули и ECM-платформы).
5. Проведите аудит логов Tika и всех сервисов, где выполнялся автоматический анализ PDF.

Всякий в Рунете ищет себе жизни хорошей, да только одни сервисы живут вольготно и горя не знают, а другие попадаются в сети хитрые, уязвимостями прозванные.

Так и эксперты СайберОК весь ноябрь следовали по цифровым дорогам и всё пытались понять: кому в Рунете жить хорошо, а кому достаётся участь тревожная.

И вот что принес нам этот месяц:
• 4742 угрозы из 15 источников зарегистрировала СКИПА.
• 1966 — HIGH / CRITICAL.
• 1748 — прошли через руки экспертов.
• 1031 — без привилегий и взаимодействия с пользователем.
• 54 — KEV.
• 195 — взяты в работу.
• 9 — знаковые уязвимости, которые разбираем в ноябрьском ТОП / АНТИТОП.

Если хотите увидеть, какие уязвимости держали Рунет за горло, а какие лишь шумели впустую — погружайтесь в материал.
И помните: в мире кибербезопасности счастье всегда относительно, а спокойствие — временно.

Читать полный материал на Teletype.

Обнаружена критическая уязвимость в React Server Components (RSC), позволяющая злоумышленнику удалённо выполнить код до аутентификации. Проблема в том, как React обрабатывает входящие Flight-запросы к Server Function-эндпоинтам: данные десериализуются без достаточной валидации и атакующий может добиться выполнения произвольного JavaScript на сервере.

Уязвимы React 19 (пакеты react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack версий 19.0.0, 19.1.0, 19.1.1 и 19.2.0).

Фреймворки, которые встраивают RSC (Next.js 15.x/16.x App Router, Vite/Parcel RSC, React Router RSC preview, Redwood, Waku и др.), наследуют тот же баг. Для Next.js была заведена отдельная CVE-2025-66478, но затем NVD пометил её как дубликат CVE-2025-55182.

Масштаб
• По данным СКИПА в Рунете и соседних регионах наблюдается более 40,000 интернет-экспонированных хостов с стеком React RSC / Next.js.
• React и Next.js — один из самых массовых стеков для веб-приложений; исследование Wiz показывает, что уязвимые версии React/Next.js обнаружены примерно в 39% облачных окружений.
• Уязвимость затрагивает дефолтные конфигурации: стандартный Next.js-проект, созданный через create-next-app и собранный c App Router, оказывается эксплуатируемым без каких-либо правок со стороны разработчика.

На фоне Log4Shell инцидентов в прошлом, можно предположить, что по критичности CVE-2025-55182 «из той же лиги» — максимальный CVSS, простая эксплуатация и огромная доля потенциально затронутых приложений.

Сложности в защите добавляет то, что React Server Components далеко не всегда «видны напрямую» с основной страницы сервера, что усложняет инвентаризацию.

Оценка риска:
Официальный CVSS v3.1 (NVD / React):
10.0 (critical)
AV:N / AC:L / PR:N / UI:N / S:C / C:H / I:H / A:H

Пересчёт CyberOK (базовый CVSS v3.1):
9,8 (критический)
AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H

Временная метрика (на сегодня):
8,8 (высокий)
/ E:F / RL:O / RC:C

• E:F (Functional) — есть рабочие PoC, эксплойты и сканеры (React2Shell, публичные Python-эксплойты и т.п.).
• RL:O (Official Fix) — патчи для React и Next.js уже выпущены.
• RC:C (Confirmed) — уязвимость подтверждена вендорами и большим числом независимых исследований.

Рейтинг CyberOK RWD (Real World Danger):
4/5 — тяжёлый реальный риск:
• Критический pre-auth RCE в одном из самых популярных фреймворков.
• Уязвим «дефолтный» стек (Next.js App Router, RSC-фичи React 19).
• Есть публичные PoC/сканеры, быстро появляются Nuclei-шаблоны и WAF-правила.
• Пока нет подтверждённой массовой эксплуатации, но крупные вендоры (Cloudflare, Akamai, Google, AWS и др.) прямо говорят, что эксплуатация ожидается и уже выкатывают сигнатуры.

Эксплуатация и активность:
Что известно сейчас:
• React-команда и NVD описывают уязвимость как неаутентифицированный RCE через небезопасную десериализацию данных Flight/Server Functions.
• Исследователи (Tenable — React2Shell, независимые PoC на GitHub) показывают, что достаточно найти RSC/Server Function-эндпоинт (часто это POST на multipart/form-data) и подобрать «гаджет» для выполнения кода (например, цепочку к vm.runInThisContext).
• Akamai, Netlify, VulnCheck, ряд других вендоров прямо пишут, что на момент публикации признаков эксплуатации “in the wild” не зафиксировано, но ожидается рост сканирования и попыток массовых атак.
• Облачные и edge-провайдеры уже выкатили защиту на периметре (Cloudflare WAF, Akamai App & API Protector, Google Cloud security controls и др.), но это не отменяет необходимости обновить сам код/зависимости.

Для нападения это очень привлекательная цель: простая модель эксплуатации («отправь специально сформированный Flight-запрос»), огромная установленная база и потенциальный полный захват backend-окружения.

Рекомендации:
1. Немедленное обновление зависимостей
Обновить React RSC-пакеты минимум до:
• react-server-dom-webpack 19.0.1 / 19.1.2 / 19.2.1
• react-server-dom-parcel 19.0.1 / 19.1.2 / 19.2.1
• react-server-dom-turbopack 19.0.1 / 19.1.2 / 19.2.1

Для Next.js перейти на зафиксированные версии:
• React: 19.0.1 / 19.1.2 / 19.2.1
• Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7 (и выше)
• Пользователям 14.3.0-canary.77+ — откатиться на стабильные ветки или следовать гайду Next.js.
• Проверить и обновить другие фреймворки, которые могут вендорить RSC-пакеты: Vite/Parcel RSC-плагины, React Router RSC preview, Redwood, Waku и т.п.

2. Инвентаризация экспонированных RSC/Next.js-приложений
По линии EASM/СКИПА:
• Выделить все домены/IP, где детектируется React 19 / Next.js 15–16 App Router / text/x-component / характерные RSC-заголовки.
• Приоритизировать интернет-экспонированные панели, дашборды, API-шлюзы и любые зоны, где есть авторизация/чувствительные операции.
• Внутри компании — пройтись по репозиториям/CI-конвейерам и собрать список проектов, где включены React Server Components / Next.js App Router.

3. Защита на периметре (WAF / reverse-proxy)
Включить и обновить правила WAF у провайдеров:
• Cloudflare: специальные правила для CVE-2025-55182 уже включены для WAF-клиентов.
• Akamai: правило 3000976 “React Remote Code Execution Attack Detected (CVE-2025-55182)”.
• Google Cloud, AWS, Netlify и другие также объявили о собственных смягчающих мерах — их нужно явно включить/проверить.

На своих Nginx/Envoy/HAProxy стоит:
• Ограничить доступ к Server Function-эндпоинтам (по IP, auth, VPN).
• При необходимости временно отрезать от интернета нестратегические RSC-приложения до обновления.

4. Мониторинг и детектирование
Добавить в поведенческий и сетевой мониторинг:
• Аномальные POST/Flight-запросы к RSC/Server Functions (в том числе с Content-Type: multipart/form-data и нестандартными RSC-хедерами).
• Ошибки/логи, связанные с десериализацией RSC-payload’ов.
• Любые признаки неожиданного запуска shell-команд из Node.js-процессов.
• В EDR/логах приложений следить за появлением команд вроде id, whoami, curl/wget/powershell из процессов Node.js, особенно если раньше такого поведения не было.

5. Временные архитектурные меры
Пока обновления не раскатаны полностью:
• По возможности отключить или сузить использование Server Functions/RSC в критичных зонах (админки, биллинг, high-privilege API).
• Рассмотреть fallback на классический SSR/CSR для самых чувствительных частей приложения.
• Дополнительно изолировать рантайм с помощью sandboxing/контейнеризации и жёстких IAM-ролей, чтобы даже при RCE ущерб был ограниченным (минимальные права на БД, секреты, cloud-API).

Источники:
1. React: Critical Security Vulnerability in React Server Components (официальный advisory, CVE-2025-55182, пакеты и фикс-версии).
2. NVD: описание CVE-2025-55182 и базовый CVSS 10.0.
3. Snyk / Wiz: технический разбор бага в Flight-протоколе и оценка масштаба в экосистеме React/Next.js.
4. Tenable (React2Shell) и публичные PoC/эксплойты.
5. Cloudflare / Akamai / Google Cloud: WAF/платформенные mitigations и оценки риска.
6. Feedly: CVE-2025-55182 - Exploits & Severity
7. GitHub: Next.js is vulnerable to RCE in React flight protocol
8. GitHub: Critical Security Vulnerability in React Server Components
9. The Register: Exploitation is imminent' of max-severity React bug

4 декабря состоится митап BI.ZONE — на нём поговорим про EASM и контроль поверхности атаки: что на неё влияет, как правильно приоритизировать риски и почему смотреть нужно дальше, чем просто на внешний периметр.

С докладом «СКИПА, которая не скипает ничего» выступит Сергей Гордейчик — CEO СайберОК.

В рамках доклада обсудим неожиданные находки и массовые угрозы, которые находила СКИПА — российский поисковик по уязвимому Рунету. Отдельно рассмотрим технические сложности массового сканирования: как не нарушить работу половины интернета, оптимизировать процессы с помощью ML и придумать решение, чтобы СКИПА действительно «не скипала ничего».

Мы ждем вас — будет полезно и по делу.

Требуется регистрация.
Когда: 4 декабря, 19:20
Где: Москва, ул. Ольховская, д. 4, корп. 1, этаж 1

Эксперт СайберОК Роберт Торосян обнаружил уязвимости в КУБ24 — онлайн-сервисе для автоматизации финансовых и управленческих задач в бизнесе.
В нём выявлены уязвимости, связанные с непринятием мер по защите структуры веб-страницы (CWE-79).

Пользователи СКИПА PentOps были уведомлены об уязвимости 10 сентября.

По информации вендора данный облачный сервис используют более 120 тысяч предпринимателей.

Данные уязвимости позволяют выполнить вредоносный JavaScript в контексте браузера жертвы, что может привести к краже сессионных куки или выполнению действий от имени пользователя.

Идентификаторы:
• СОК-2025-09-02 / BDU:2025-11155
• СОК-2025-09-03 / BDU:2025-11156

CVSS:
• CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N (8.5) — высокий уровень опасности

Рекомендации:
• Обновление программного обеспечения до актуальной версии.

Ссылки:
• КУБ24 в реестре ПО
• Уведомление БДУ ФСТЭК

Эксперты CyberOK подготовили и открыли два новых модуля для Wireshark — диссектор протокола TrueConf и улучшение стандартного модуля EPMD. Мы делимся инструментами с сообществом, поддерживая Open Source и следуя GPL.

Диссектор для протокола TrueConf:
Проблема →
Wireshark в настоящее время не распознаёт и не декодирует трафик TrueConf. Это затрудняет понимание того, что происходит во время регистрации, установления вызова и других процессов сигнализации.

Решение →
Новый модуль, который:
• Анализирует и отображает типы сообщений, полей и значений.
• Разрешает фильтрацию по полям протокола TrueConf.
• Помогает разработчикам и администраторам сетей отладить связь TrueConf.

Варианты использования диссектора →
• Проверка взаимодействия клиентов TrueConf с сервером.
• Устранение неполадок при подключении или настройке вызова.
• Изучение принципов работы протокола и структуры сообщений.

Улучшенный диссектор EPMD:
Проблема →
Текущий диссектор EPMD в Wireshark некорректно анализирует и отображает список зарегистрированных узлов Erlang с их портами в ответах ALIVE/NAMES. Это приводит к тому, что пользователи, анализирующие взаимодействие узлов Erlang, получают неполную или неясную информацию о пакетах.

Решение →
Обновлённая версия улучшает:
• Анализ строк вида «имя-порт».
• Структурированное отображение данных в древовидном формате.
• Удобство использования и возможности отладки для разработчиков и сетевых инженеров, работающих с кластерами Erlang.

Вклад в сообщество:
Мы регулярно исследуем технологии и считаем важным возвращать сообществу инструменты, которые делают инфраструктуру понятнее и безопаснее. Обе разработки доступны под GPL.

https://github.com/cyberok-org/open-source-contribs/