CVE-2025-4632

Samsung MagicINFO 9 Server

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-05-22

Официальное описание

Samsung MagicINFO 9 Server contains a path traversal vulnerability that allows an attacker to write arbitrary file as system authority.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-4632 представляет собой критическую уязвимость типа Path Traversal (обход путей) в серверной части Samsung MagicINFO 9. Проблема возникает из-за недостаточной фильтрации входных данных в механизме обработки путей к файлам.

Злоумышленник может отправить специально сформированный запрос, содержащий последовательности перехода на родительский каталог (например, ../), что позволяет выйти за пределы целевой директории. Поскольку сервис MagicINFO по умолчанию запускается с правами System Authority (NT AUTHORITY\SYSTEM), эксплуатация уязвимости позволяет удаленно записывать произвольные файлы в любую часть файловой системы, включая системные папки Windows, что ведет к полному захвату сервера (RCE).

Как исправить

Основным способом устранения является установка официального патча от Samsung, который внедряет строгую валидацию путей и ограничивает права процесса записи.

  1. Перейдите на официальный портал поддержки Samsung MagicINFO или свяжитесь с вашим региональным представителем для получения актуального Hotfix или версии 9 (Build 25.1001 и выше).
  2. Перед установкой создайте резервную копию базы данных PostgreSQL и папки с контентом.
  3. Остановите службу MagicINFO через консоль управления службами:
Stop-Service -Name "MagicInfo"
  1. Запустите инсталлятор обновления с правами администратора.
  2. После завершения установки убедитесь, что версия билда обновилась, и запустите службу:
Start-Service -Name "MagicInfo"

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью следующих шагов:

  1. Принцип наименьших привилегий: Измените учетную запись, от которой запускается служба MagicINFO, с Local System на специально созданную сервисную учетную запись с ограниченными правами доступа только к необходимым директориям MagicINFO.

  2. Сетевое сегментирование: Ограничьте доступ к веб-интерфейсу сервера (порты 7001, 3000 по умолчанию) только для доверенных IP-адресов администраторов и панелей.

New-NetFirewallRule -DisplayName "Restrict MagicINFO" -Direction Inbound -Action Allow -EdgeTraversalPolicy Block -LocalPort 7001,3000 -Protocol TCP -RemoteAddress 192.168.1.0/24
  1. Настройка WAF: Если сервер опубликован во внешнюю сеть, настройте Web Application Firewall на блокировку запросов, содержащих паттерны обхода путей в URL и теле запроса:
\.\.\/
\.\.\\
%2e%2e%2f
  1. Мониторинг файловой системы: Включите аудит записи файлов в критические системные директории (C:\Windows\System32, автозагрузка) для процесса java.exe, относящегося к MagicINFO.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей