CVE-2025-2775

SysAid SysAid On-Prem

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-07-22

Официальное описание

SysAid On-Prem contains an improper restriction of XML external entity reference vulnerability in the Checkin processing functionality, allowing for administrator account takeover and file read primitives.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-2775 представляет собой критическую уязвимость класса XXE (XML External Entity Injection) в компоненте обработки Checkin-запросов продукта SysAid On-Prem.

Проблема заключается в некорректной конфигурации XML-парсера, который разрешает разрешение внешних сущностей. Злоумышленник может отправить специально сформированный XML-пакет на эндпоинт обработки данных, что позволяет: 1. Читать произвольные файлы с сервера (File Read Primitive), включая конфигурационные файлы с учетными данными. 2. Осуществлять захват учетных записей администраторов (Account Takeover) через манипуляцию сессиями или извлечение хешей. 3. Проводить атаки типа SSRF (Server-Side Request Forgery) для сканирования внутренней сети.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление SysAid On-Prem до версии, в которой исправлены механизмы обработки XML.

  1. Перейдите на официальный портал поддержки SysAid и скачайте последний доступный патч или дистрибутив версии 24.1.11 (или выше, если применимо).
  2. Создайте резервную копию базы данных и папки установки SysAid.
  3. Запустите процесс обновления:
SysAidServer64.exe
  1. Следуйте инструкциям мастера установки для завершения миграции.
  2. После обновления убедитесь, что версия в панели управления отображается как актуальная.

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью компенсационных мер контроля:

  1. Ограничьте доступ к веб-интерфейсу SysAid только из доверенных сегментов сети (VPN/Internal IP), чтобы исключить эксплуатацию извне.
  2. Настройте правила на Web Application Firewall (WAF) для блокировки POST-запросов, содержащих объявления внешних сущностей (DOCTYPE, ENTITY) в теле XML:
(?i)(<!ENTITY|<!DOCTYPE)
  1. Временно ограничьте права сервисной учетной записи, под которой запущен SysAid, запретив ей доступ к чувствительным файлам ОС (например, /etc/passwd или C:\Windows\System32\config\SAM).
  2. Включите расширенное логирование HTTP-запросов и отслеживайте аномальную активность на эндпоинтах, связанных с Checkin-функционалом.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей