Эксперты компании Innostage выявили критическую уязвимость в популярной веб-IDE Atheos

Эксперты компании Innostage выявили критическую уязвимость CVE-2025-47788 в ходе анализа популярного open source-продукта — веб-IDE Atheos.

Уязвимость была обнаружена в файле controller.php, который управляет маршрутизацией модулей. Причиной являлось отсутствие фильтрации значения параметра target в POST запросе при подключении файлов из каталогов components и plugins. Таким образом, с помощью Path Traversal злоумышленник мог подключить произвольный PHP-скрипт за пределами разрешённой области, что в дальнейшем привело бы к удалённому выполнению кода на сервере (RCE).

Для использования уязвимости злоумышленнику необходимо иметь доступ к интерфейсу (например, быть авторизованным пользователем IDE) и возможность разместить вредоносный файл controller.php в предсказуемом месте файловой системы.

Эксперты Innostage разработали Proof of Concept и уведомили разработчиков проекта. После проверки и верификации бага, уязвимости был присвоен идентификатор CVE-2025-47788 CVSS v4.0: 9.4 (Critical) /AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H.

15 мая 2025 года команда разработчиков Atheos выпустила обновление версии v602. Пользователям рекомендуется обновить программное обеспечение до последней версии, чтобы исключить возможность эксплуатации данной уязвимости.

«Безопасность пользователей и оперативное реагирование на выявленные уязвимости остаются нашим приоритетом. Мы призываем всех разработчиков и администраторов внимательно относиться к вопросам проверки и фильтрации пользовательских данных, особенно при динамической загрузке модулей и файлов», - отметил старший специалист по тестированию на проникновение компании Innostage, Антон Басалгин.

 Innostage — первый кибериспытанный интегратор, сфокусированный на развитии результативной кибербезопасности. Этот подход лег в основу комплексной методологии, которая делает качество услуг компании измеримым и понятным для бизнеса. 

Эксперты компании регулярно проводят тестирование разнообразных приложений и сервисов с целью оценки их защищенности, используя собственную методику и подтверждая приверженность принципам киберустойчивости.