💻 Эксперты PT SWARM нашли уязвимость в российской системе видео-конференц-связи VINTEO: https://vk.cc/cNXzRM Производитель представил для исследования тестовый стенд, и при анализе кода наши коллеги Михаил Ключников и Александр Стариков смогли обнаружить недостаток безопасности (BDU:2025-07296 (https://vk.cc/cNXzUZ), 9,3 балла по шкале CVSS 4.0). Сервер VINTEO предназначен для построения инфраструктуры видео-конференц-связи и масштабирования уже существующих сетей. По данным вендора, его решения за 12 лет позволили провести около 10 млн видеоконференций. Уязвимость, связанная с удаленным выполнением кода (RCE), появилась из-за недостаточной фильтрации пользовательских данных в системном компоненте. «В случае успешной эксплуатации уязвимости потенциальный атакующий мог выполнять произвольные команды и получить доступ к серверу и контроль над ним», — пояснил Михаил Ключников, руководитель группы исследования ПО отдела тестирования на проникновение, Positive Technologies. Дальнейшие сценарии атак могли быть самыми разными. Но благодаря участию VINTEO в программе багбаунти специалисты выявили возможную угрозу на тестовом стенде, а разработчик ее оперативно устранил. Мы считаем, что сотрудничество Positive Technologies и VINTEO в рамках политики ответственного разглашения информации об уязвимостях — это пример эффективного взаимодействия между исследователями безопасности и производителями ПО. Подобный диалог позволяет повысить защищенность отечественных ИТ-решений. Уязвимость была обнаружена и устранена в январе. Вендор выпустил security-патч, закрывший проблему, а затем подготовил полноценное обновление ПО с исправлением. Если вы используете эту систему, обновите ее до версии 30.2.0 или выше. 👀 Больше об уязвимости рассказали в новости на сайте: https://vk.cc/cNXzRM #PositiveЭксперты #PTSWARM #PositiveTechnologies