Может ли антивирус Kaspersky сам содержать уязвимости?

Да. Любое ПО, включая средства защиты, может содержать уязвимости. Антивирус Kaspersky работает с максимальными привилегиями (SYSTEM/root) и обрабатывает все файлы в системе. Уязвимость в парсере файлов, движке эвристики или компоненте самозащиты даёт атакующему полный контроль над системой. В БДУ ФСТЭК зарегистрированы CVE для Kaspersky Endpoint Security, Internet Security и Total Security.

Нужно ли обновлять сертифицированный Kaspersky?

Да. Сертификат ФСТЭК на Kaspersky подтверждает соответствие требованиям на момент сертификации. Новые уязвимости появляются после сертификации, и приказы ФСТЭК (мера АНЗ.2) требуют контроля установки обновлений даже для сертифицированных СЗИ. Kaspersky выпускает патчи через KSC (Kaspersky Security Center) — их установку нужно контролировать и документировать.

Где Kaspersky публикует информацию об уязвимостях?

Лаборатория Касперского публикует security advisories на advisories.kaspersky.com с CVE-идентификаторами и рекомендациями. Эти данные также попадают в БДУ ФСТЭК. На этой странице показаны все уязвимости продуктов Kaspersky из БДУ с CVSS-оценками и информацией об эксплуатируемости.

Уязвимости Kaspersky: CVE, БДУ ФСТЭК и мониторинг

Name: Уязвимости Kaspersky — БДУ ФСТЭК
Creator: ФСТЭК России
License: https://bdu.fstec.ru/

Уязвимости Kaspersky из реестра БДУ ФСТЭК: 86 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.

86уязвимостей в БДУ

Данные на этой странице обновляются автоматически на основании реестра БДУ ФСТЭК России и открытых источников (NVD, CISA KEV, FIRST EPSS). Информация носит справочный характер и не заменяет профессиональный анализ уязвимостей в конкретной инфраструктуре. Перед принятием решений по устранению рекомендуем верифицировать данные в первоисточнике и учитывать специфику вашей среды.

Уязвимости Kaspersky из БДУ ФСТЭК

Последняя уязвимость: 12 ноября 2025 г.·Проверено: 5 апреля 2026 г.

Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 86.

BDU:2023-08853

Высокий

7.4EPSS 57%7дн

Уязвимость реализации протокола SSH, связанная с возможностью откорректировать порядковые номера пакетов в процессе согласования соединения и добиться удаления произвольного числа служебных SSH-сообще

Уязвимость параметра reportId метода getReportStatus средства антивирусной защиты Kaspersky Anti-Virus for Linux File Server, позволяющая нарушителю читать произвольные файлы

Уязвимость службы kav4fs-control средства антивирусной защиты Kaspersky Anti-Virus for Linux File Server, позволяющая нарушителю повысить свои привилегии до root

Уязвимость интерфейса утилиты командной строки cURL, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость обработчика файлов формата JS средств антивирусной защиты Kaspersky, позволяющая нарушителю выполнить произвольный код с привилегиями system

Уязвимость компонента Application Control средства антивирусной защиты Kaspersky Embedded Systems Security, позволяющая запустить приложение, не указанное в белом списке

Уязвимость веб-консоли Kaspersky Security Center 10, позволяющая нарушителю получить доступ к функциональности программного обеспечения и выполнить произвольный JavaScript-код на стороне клиента

2018

Все 86 уязвимостей Kaspersky в реестре Подключить мониторинг уязвимостей

Почему важно отслеживать уязвимости Kaspersky

Kaspersky Endpoint Security, Total Security, Internet Security и другие продукты «Лаборатории Касперского» — средства защиты, которые сами могут содержать уязвимости. Парадокс: антивирус работает с максимальными привилегиями, и уязвимость в нём даёт атакующему полный контроль над системой. Типовые CVE: утечка информации (CWE-200), DLL hijacking (CWE-427), ограничение ресурсов (CWE-770). Kaspersky публикует security advisories на advisories.kaspersky.com. Для организаций, использующих сертифицированные ФСТЭК версии Kaspersky, мониторинг уязвимостей в БДУ ФСТЭК обязателен — СЗИ тоже нуждается в патчах.

Сроки устранения по приказу ФСТЭК №117

Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).

Критический

CVSS 9.0–10.0

24 часа

Высокий

CVSS 7.0–8.9

7 дней

Средний

CVSS 4.0–6.9

30 дней

Низкий

CVSS 0.1–3.9

Плановое

Полезные ресурсы

Реестр БДУ ФСТЭК

Полный поиск по уязвимостям Kaspersky

Калькулятор CVSS v4.0

Рассчитайте критичность уязвимости

Приказ ФСТЭК №117

SLA на устранение и требования к мониторингу

Модуль БДУ ФСТЭК

Автоматический мониторинг уязвимостей Kaspersky в SGRC

FAQ

Вопросы об уязвимостях Kaspersky

Не нашли ответ? Напишите нам

Автоматизируйте мониторинг уязвимостей Kaspersky

SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.