Обнаруженная в системе управления IT-инфраструктурой iTop уязвимость открывала доступ к данным компаний

В опенсорсном веб-приложении iTop для управления IT-инфраструктурой была обнаружена и устранена уязвимость, позволяющая удаленно выполнять произвольный код. Как сообщили в Positive Technologies, эксперт компании помог выявить эту угрозу.

Уязвимость, получившая идентификаторы PT-2025-46182 и CVE-2025-47286, затронула версии iTop младше 2.7.13 и 3.2.2. Ее оценили в 8,6 балла из 10 по шкале CVSS 4.0, что соответствует высокому уровню угрозы, как указывается в сообщении компании.

Для успешной эксплуатации уязвимости злоумышленнику, как отмеxается в сообщении Positive Technologies, потребовалось бы подобрать пароль пользователя с административными правами. После этого он смог бы запустить процедуру резервного копирования, в процессе которой появлялась возможность выполнить произвольный код, что потенциально открывало доступ к внутренней инфраструктуре и данным компаний.

Продолжение ниже

Разработчик проекта Combodo был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление. Для устранения недостатка безопасности рекомендуется обновить веб-приложение iTop до версии не ниже 2.7.13 или 3.2.2.

Если загрузить исправление невозможно, эксперты Positive Technologies рекомендуют ограничить доступ к системе из интернета, заменить пароли сотрудников на сложные и включить многофакторную аутентификацию. Эти меры снизят риск несанкционированного доступа к системе, как сообщили в компании.