В системе для видеоконференций VINTEO устранен критический баг

[Sascha]

В российской системе видеоконференцсвязи VINTEO исправили критическую RCE-уязвимость, которая возникла из-за особенности реализации компонента с недостаточной фильтрацией пользовательских данных.

Сервер видеоконференцсвязи VINTEO предназначен для построения новой ВКС-инфраструктуры и масштабирования уже существующих сетей.

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

самого производителя, за 12 лет решения VINTEO позволили осуществить около 10 млн видеоконференций.

Проблема получила идентификатор

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

(9,3 балла по шкале CVSS) и была обнаружена в январе 2025 года специалистами компании Positive Technologies Михаилом Ключниковым и Александром Стариковым при анализе кода ПО на тестовом стенде, предоставленном VINTEO для исследования.

Сообщается, что производитель был уведомлен об угрозе и оперативно выпустил патч для своих клиентов, полностью закрывший проблему, а затем подготовил полноценное обновление ПО с исправлением.

«В случае успешной эксплуатации уязвимости потенциальный атакующий мог выполнять произвольные команды и получить доступ к серверу и контролем над ним. Дальнейшие сценарии атак могли бы быть самыми разными», — комментирует Михаил Ключников, руководитель группы исследования ПО отдела тестирования на проникновение, Positive Technologies.

Уязвимость, устраненная в новом релизе, содержалась в VINTEO 30.0.0, и теперь пользователям рекомендуется как можно быстрее установить версию 30.2.0 или более новую.

Источник:

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.