BDU:2026-09471: Уязвимость функции импорта модулей системы управления взаимоотношениями с клиентами vTiger CRM, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации, загружать произвольные файлы и выполнить произвольный код
Детали уязвимости BDU:2026-09471
Описание
Уязвимость функции импорта модулей системы управления взаимоотношениями с клиентами vTiger CRM связана с неограниченной загрузкой файлов опасного типаа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации, загружать произвольные файлы и выполнить произвольный код
Что делать с BDU:2026-09471
Высокая уязвимость (CVSS 8.6) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.
Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.
Оценка критичности (CVSS)
AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:NAV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:HAV:N/AC:L/Au:S/C:C/I:C/A:CCWE — тип уязвимости
CVE — международный идентификатор
Программа принимает файлы без проверки типа. Может привести к загрузке и выполнению вредоносного кода.
Как атакуют и что делать ▾
Сценарий атаки
Форма загрузки принимает .php/.jsp файл вместо картинки. Атакующий загружает веб-шелл и получает доступ к серверу.
Последствия
Выполнение произвольного кода на сервере, полный захват.
Рекомендации
Проверяйте MIME-тип и расширение, храните файлы вне webroot, генерируйте случайные имена.
Тактики и техники
Уязвимое ПО (1)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| vTiger | vTiger CRM | до 8.4.0 включительно | Не указана |
Рекомендации по устранению
Использование рекомендаций: Компенсирующие меры: 1. Перед распаковкой проверьте содержимое ZIP-архива модуля. Перед вызовом функции $package->import() перечислите все файлы в zip-архиве и отклоните пакет, если он содержит файлы, не входящие в список допустимых типов. 2. Ограничьте выполнение PHP-кода в каталогах модулей, установленных пользователем. Добавьте в конфигурацию Apache параметр, предотвращающий прямое выполнение PHP-кода для файлов, установленных пользователем. Это можно сделать либо используя файл конфигурации .htaccess в каталоге modules/, либо в конфигурации виртуального хоста. 3. Внедрите требование криптографической подписи для пакетов модулей. Устанавливать можно будет только модули, подписанные Vtiger или ключом, которому администратор явно доверяет. 4. Используйте журнал аудита безопасности для регистрации событий импорта модулей с указанием пользователя, устанавливающего модуль, имени исходного файла, списка извлеченных файлов и хеша содержимого ZIP-архива.
SLA ФСТЭК №117
7 дней
по базовой оценке CVSS 8.6
Уточните SLA под вашу среду
Базовый балл 8.6 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.
Пересчитать CVSS с учётом средыThreat Intelligence
SSVC: Отслеживать (повышенный)
Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.
Вероятность эксплуатации в 30 дней (FIRST EPSS)
Информация
Обнаружена
2026-03-21
Опубликована
2026-07-09
Обновлена
2026-07-09
Эксплойт
Существует в открытом доступе
Исправление
Информация об устранении отсутствует
Статус
Подтверждена производителем
Управляйте уязвимостями, а не таблицами
Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.
- Уязвимости → активы → ответственные — цепочка за минуту
- SLA-таймеры и эскалация — дедлайны не горят
- PDF-отчёт для ФСТЭК — за один клик
Связанные уязвимости
BDU:2026-09469Уязвимость модуля Documents системы управления взаимоотношениями с клиентами vTiger CRM, позволяющая нарушителю получить
BDU:2025-14401Уязвимость системы управления взаимоотношениями с клиентами vTiger CRM, связанная с непринятием мер по защите структуры
BDU:2017-01190Уязвимость службы обработки файла CompanyDetailsSave.php системы управления взаимоотношениями с клиентами vTiger CRM, по
Что добавляет КиберОснова к данным БДУ ФСТЭК
CVSS v4.0 + калькулятор
Единственный бесплатный калькулятор CVSS v4.0 на русском языке
SLA по приказу №117
Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн
EPSS + CISA KEV
Оценка вероятности эксплуатации и статус активных атак
Полнотекстовый поиск
По названию, CVE, CWE, описанию — русский и английский
Связанные уязвимости
Автоматический подбор по затронутому ПО
Мобильная версия
Адаптивный интерфейс для работы с телефона и планшета
Автоматизируйте управление уязвимостями
КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.