Apache 2.4.60 — или привет RCE на миллионах серверов, если вы всё ещё на старом
NewsMakerИюньский дайджест трендовых уязвимостей.
Специалисты Positive Technologies обновили список трендовых уязвимостей, добавив семь новых проблем в популярных ИТ-продуктах — от компонентов Windows до Apache, 7-Zip и почтовых серверов MDaemon и Zimbra. Большинство уязвимостей позволяют злоумышленникам получить контроль над устройствами пользователей или серверами.
Наиболее опасной признана уязвимость CVE-2025-30400 (оценка CVSS — 7,8) в DWM Core Library от Microsoft. Преступник, получивший первичный доступ, может повысить привилегии до уровня SYSTEM и захватить систему.
Сразу две аналогичные уязвимости — CVE-2025-32701 и CVE-2025-32706 — затрагивают драйвер CLFS.sys в Windows. Они связаны с некорректной работой с памятью ( CWE-416 ) и отсутствием валидации ввода ( CWE-20 ). Аналогичная уязвимость CVE-2025-29824 ранее уже использовалась в атаках вымогателей, таких как Play ransomware , о чём также упоминал Zero Day Initiative .
Из числа удалённых атак наиболее серьёзной стала CVE-2024-38475 в HTTP-сервере Apache (CVSS — 9,8). Она связана с некорректной обработкой URL-переписываний ( CWE-116 ) и может привести к удалённому выполнению кода или утечке файлов. По данным SecurityScorecard , уязвимыми могут быть почти 4 миллиона IP-адресов. Apache рекомендует обновиться до версии 2.4.60, а SonicWall — до 10.2.1.14-75sv и выше .
Новая уязвимость в архиваторе 7-Zip ( BDU:2025-01793 , CVSS — 5,7) связана с некорректной работой механизма Mark of the Web. Из-за этого Windows не помечает опасные файлы, извлечённые из архивов, как потенциально вредоносные. SourceForge зафиксировал более 430 млн загрузок 7-Zip. Для защиты рекомендуется включить параметр Propagate Zone.Id stream и использовать методы изоляции и антивирусной проверки .
Также в дайджест попала XSS-уязвимость CVE-2024-11182 (CVSS — 6,1) в почтовом сервере MDaemon. Она позволяет внедрять JavaScript в письма через тег
Наконец, XSS-уязвимость CVE-2024-27443 в веб-интерфейсе Zimbra связана с функцией CalendarInvite и ошибкой в заголовке
Специалисты Positive Technologies обновили список трендовых уязвимостей, добавив семь новых проблем в популярных ИТ-продуктах — от компонентов Windows до Apache, 7-Zip и почтовых серверов MDaemon и Zimbra. Большинство уязвимостей позволяют злоумышленникам получить контроль над устройствами пользователей или серверами.
Наиболее опасной признана уязвимость CVE-2025-30400 (оценка CVSS — 7,8) в DWM Core Library от Microsoft. Преступник, получивший первичный доступ, может повысить привилегии до уровня SYSTEM и захватить систему.
Сразу две аналогичные уязвимости — CVE-2025-32701 и CVE-2025-32706 — затрагивают драйвер CLFS.sys в Windows. Они связаны с некорректной работой с памятью ( CWE-416 ) и отсутствием валидации ввода ( CWE-20 ). Аналогичная уязвимость CVE-2025-29824 ранее уже использовалась в атаках вымогателей, таких как Play ransomware , о чём также упоминал Zero Day Initiative .
Из числа удалённых атак наиболее серьёзной стала CVE-2024-38475 в HTTP-сервере Apache (CVSS — 9,8). Она связана с некорректной обработкой URL-переписываний ( CWE-116 ) и может привести к удалённому выполнению кода или утечке файлов. По данным SecurityScorecard , уязвимыми могут быть почти 4 миллиона IP-адресов. Apache рекомендует обновиться до версии 2.4.60, а SonicWall — до 10.2.1.14-75sv и выше .
Новая уязвимость в архиваторе 7-Zip ( BDU:2025-01793 , CVSS — 5,7) связана с некорректной работой механизма Mark of the Web. Из-за этого Windows не помечает опасные файлы, извлечённые из архивов, как потенциально вредоносные. SourceForge зафиксировал более 430 млн загрузок 7-Zip. Для защиты рекомендуется включить параметр Propagate Zone.Id stream и использовать методы изоляции и антивирусной проверки .
Также в дайджест попала XSS-уязвимость CVE-2024-11182 (CVSS — 6,1) в почтовом сервере MDaemon. Она позволяет внедрять JavaScript в письма через тег
![]()
Наконец, XSS-уязвимость CVE-2024-27443 в веб-интерфейсе Zimbra связана с функцией CalendarInvite и ошибкой в заголовке
X-Zimbra-Calendar-Intended-For. Уязвимость позволяет внедрять JavaScript в письма. По данным Censys , затронуто до 130 тыс. экземпляров Zimbra. Защита возможна путём обновления до версий 10.0.7 или 9.0.0 Patch 39 .