ThreatScope by DIAMATIX: Критични уязвимости в активна експлоатация (01–07 декември 2025)
От местни корени до глобално доверие — DIAMATIX следи най-важните уязвимости.
През изминалата седмица глобалният киберпространствен пейзаж беше доминиран от критични уязвимости, някои от които вече са в активна експлоатация от различни хакерски групи. Този обзор събира най-рисковите и най-използваните CVE-та, които изискват незабавно внимание от екипите по сигурност.
1. Critical Unauthenticated RCE in React Server (CVE-2025-55182)
RCE слабост в React Server Components (RSC) и във фреймуъркове, използващи Flight протокола (вкл. определени версии на Next.js).
Атакуващ може да изпрати злонамерена RSC заявка, която води до десериализация на сървъра и изпълнение на произволен код без автентикация.
Тази уязвимост е особено опасна за SaaS, e-commerce и модерни уеб платформи.
2. Critical XXE Injection in Apache Tika (CVE-2025-66516)
Засегнати: tika-core, tika-pdf-module, tika-parsers.
Уязвимостта позволява XML External Entity (XXE) атаки чрез XFA файл в PDF, което може да доведе до разкриване на чувствителни файлове или SSRF атаки.
Широко използвана библиотека → голяма атачна повърхност.
3. Critical React/Next.js RSC Bugs — повторно докладван риск (CVE-2025-55182)
Уязвимост с максимална тежест, даваща неавтентикиран RCE чрез неправилно декодиране на payload към Server Function endpoint-и.
Вече се отчита интерес от офанзивни групи.
4. WordPress King Addons (CVE-2025-8489) – Active Exploitation
Критична уязвимост в популярен Elementor плъгин.
Неприятната част: неавтентикиран нападател може да даде на себе си администраторски права, просто като зададе тази роля при регистрация.
Активно експлоатирано в дивата среда → риск за хиляди сайтове.
5. Advantech WISE-DeviceOn Server Hard-coded JWT Key (CVE-2025-34256)
Сървърът използва статичен HS512 HMAC ключ за подписване на JWT токени.
Това позволява генериране на валидни токени и пълно поемане на администраторски контрол, включително изпълнение на код върху управляваните устройства.
Критично за индустриални среди и IoT инфраструктура.
6. GoAway Authentication Bypass via Hardcoded Credentials (CVE-2025-65730)
Използва се твърдо зададен секрет за подписване на JWT.
Атакуващ може да прескочи автентикацията и да получи достъп до панела.
Поправено във версия 0.62.19.
7. Fanvil x210 Series — Multiple Vulnerabilities
Тези устройства се използват широко в телефонии, кол центрове и корпоративни мрежи.
File Upload Vulnerability (CVE-2025-64056) – позволява качване на произволни файлове без автентикация от локална мрежа.
Buffer Overflow (CVE-2025-64053) – може да доведе до DoS или RCE чрез POST заявка към upload endpoint.
Arbitrary Command Execution (CVE-2025-64052) – позволява изпълнение на системни команди от локални неавтентикирани нападатели.
Комбинацията от тези три уязвимости представлява сериозна опасност за инфраструктури с VoIP компоненти.
8. Apache HTTP Server — Multiple Critical Issues
CVE-2025-58098
SSI с mod_cgid позволява предаване на shell-escaped query string към #exec cmd="..."
Може да доведе до изпълнение на команди при неправилна конфигурация.
CVE-2025-65082
Неправилна обработка на environment variables в CGI програми, което позволява препокриване на ключови променливи и неочаквано поведение на сървъра.
Перспективата на DIAMATIX
Trusted · Innovative · Vigilant.
Всяка от горните уязвимости демонстрира тенденцията, която наблюдаваме ежедневно в SOC-а ни: комбинацията от supply-chain зависимости, популярни фреймуъркове и IoT/OT устройства увеличава риска от мащабни инциденти — дори без човешка грешка.
Какво е важно за организациите:
✔ Проактивен мониторинг
Shield SIEM/XDR анализира индикатори за компрометиране, свързани с тези уязвимости, още преди да бъдат публикувани стабилни PoC експлойти.
✔ MDR лов на заплахи
Екипът ни идентифицира необичайни модели в атаки срещу React/Next.js и WordPress екосистемата, характерни за сканиращи групи, опитващи RCE в реално време.
✔ Пълно покритие
Уязвимости като JWT bypass и командно изпълнение в IoT устройства доказват нуждата от централизирана видимост и бърз инцидентен отговор.
✔ Подготовка за регулации
Рисковете от supply chain и уязвимости в популярни библиотеки са ключов елемент в NIS2 и DORA — нашият подход помага на клиентите ни да поддържат устойчивост и доказуем контрол.
Заключение
Уязвимостите тази седмица подчертават нещо ясно: атакуващите таргетират онези платформи и технологии, които са най-масово използвани.
С навременна видимост, проактивна реакция и централизирана защита, организациите могат да превърнат подобни тенденции в предимство — не в риск.
DIAMATIX остава до клиентите си, за да осигури спокойствие, яснота и непрекъсната защита.
Получавайте актуални новини и експертни анализи за киберсигурност
