4⃣ Старший специалист PT ESC Максим Суслов нашел четыре опасные уязвимости в почтовом сервере CommuniGate Pro: https://vk.cc/cPqXD9 CommuniGate Pro — это отечественная платформа для унифицированных коммуникаций, разрабатываемая компанией «СБК». Она включает серверные и клиентские компоненты, обеспечивающие безопасную работу почты, мессенджера, видеосвязи, контакт-центров и интеграцию с популярными клиентами, такими как Microsoft Outlook и Thunderbird. Решение используется крупными государственными организациями, корпорациями и телеком-операторами. По данным компании «СБК», CommuniGate Pro развернута в 53 странах и обслуживает свыше 135 млн учетных записей. Уязвимости обнаружены в версии 6.5.1 и более ранних версиях предыдущего правообладателя. 1⃣ Наиболее серьезный из найденных недостатков безопасности — PT-2025-21649 (https://vk.cc/cPqXHq) / BDU:2025-02495 (https://vk.cc/cPqXLg) — имеет критический уровень опасности (9,3 балла по шкале CVSS 4.0). Ошибка заключается в потенциальной возможности выполнить вредоносный код и получить полный контроль над системой. 2⃣ 3⃣ Следующим двум уязвимостям — PT-2025-20235 (https://vk.cc/cPqXOF) / BDU:2025-01798 (https://vk.cc/cPqXTE) и PT-2025-30037 (https://vk.cc/cPqXYd) / BDU:2025-08669 (https://vk.cc/cPqY1X) — присвоен высокий уровень опасности (8,7 балла по шкале CVSS 4.0). Они связаны с отсутствием корректной проверки прав в одном из методов при отправке почты. В случае успешной эксплуатации злоумышленник мог бы подделывать внутренние запросы системы и рассылать письма от имени любого пользователя. 4⃣ Последний устраненный недостаток PT-2025-20237 (https://vk.cc/cPqYaQ) / BDU:2025-01820 (https://vk.cc/cPqYen), набравший 6,9 балла по шкале CVSS 4.0, теоретически давал атакующему возможность получить доступ к любым файлам на сервере, включая личные письма пользователей. «До устранения эти пробелы в защите потенциально позволяли захватить полный контроль над почтовым сервером, — отметил Максим Суслов. — Если бы атакующим удалось этим воспользоваться, могли бы возникнуть инциденты, связанные с масштабными утечками конфиденциальной информации и компрометацией части корпоративной IT-инфраструктуры». Мы своевременно сообщили вендору о найденных пробелах в безопасности, и он выпустил обновление. Чтобы не рисковать, обновите ПО до версии не ниже 6.5.1hotfix1, доступной для свободного скачивания на сайте компании-производителя: https://vk.cc/cPqYkJ Если такой возможности нет, наши эксперты рекомендуют ограничить доступ к CommuniGate Pro из недоверенных сетей. 👾 Больше об этих и других актуальных уязвимостях с рекомендациями вендоров по их устранению мы рассказываем на портале dbugs: https://vk.cc/cPqXvk #PositiveЭксперты #PositiveTechnologies