CVE-2025-2776

Суть уязвимости

CVE-2025-2776 представляет собой критическую уязвимость типа XXE (XML External Entity Injection) в компоненте обработки Server URL продукта SysAid On-Prem.

Проблема заключается в некорректной конфигурации XML-парсера, который позволяет злоумышленнику внедрять внешние сущности в XML-запросы. Это приводит к двум критическим сценариям: 1. File Read Primitive: Возможность чтения произвольных файлов с сервера, на котором установлен SysAid (включая конфигурационные файлы с учетными данными). 2. Account Takeover: Возможность перехвата сессий или манипуляции данными, что позволяет получить полный контроль над учетной записью администратора.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление SysAid On-Prem до версии, в которой XML-парсер настроен безопасно (отключена обработка внешних сущностей и DTD).

1. Перейдите на официальный портал поддержки SysAid.
2. Скачайте последний доступный патч или полный установщик версии 25.1.15 (или выше).
3. Перед установкой создайте резервную копию базы данных и директории приложения.
4. Запустите процесс обновления:

SysAidServer64.exe

1. После завершения обновления убедитесь, что версия в панели управления отображается как актуальная.

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью сетевых ограничений и мониторинга:

1. Ограничьте доступ к веб-интерфейсу SysAid (порты 8080, 8443 или кастомные) только доверенными IP-адресами администраторов.
2. Настройте правила на WAF (Web Application Firewall) для блокировки XML-запросов, содержащих ключевые слова ENTITY, SYSTEM или PUBLIC в теле POST-запросов.
3. Заблокируйте исходящий трафик с сервера SysAid во внешнюю сеть, чтобы предотвратить попытки Out-of-band (OOB) извлечения данных через XXE.
4. Проверьте логи доступа на наличие подозрительных запросов к эндпоинтам, обрабатывающим Server URL.

Для проверки текущего состояния службы SysAid используйте:

Get-Service -Name "SysAid Server"