CVE-2025-5086

Суть уязвимости

Уязвимость CVE-2025-5086 относится к классу CWE-502 (Deserialization of Untrusted Data). В продукте Dassault Systèmes DELMIA Apriso отсутствует должная валидация или безопасная обработка сериализованных данных, поступающих от пользователя или из внешних систем.

Механика эксплуатации заключается в следующем: * Злоумышленник формирует специально подготовленный (вредоносный) сериализованный объект. * Этот объект отправляется на уязвимый эндпоинт приложения DELMIA Apriso. * При десериализации (восстановлении объекта из потока байтов в память) приложение автоматически вызывает определенные методы (например, конструкторы или магические методы), что приводит к выполнению произвольного кода (Remote Code Execution, RCE). * Код выполняется с правами учетной записи, под которой работает служба или пул приложений Apriso, что может привести к полной компрометации сервера.

Как исправить

Единственным надежным способом устранения уязвимости архитектурного уровня является установка официального исправления от вендора.

• Перейдите на официальный портал поддержки Dassault Systèmes (3DS Support).
• Найдите бюллетень безопасности, соответствующий CVE-2025-5086, и скачайте актуальный кумулятивный патч (Cumulative Update) или хотфикс для вашей версии DELMIA Apriso.
• Перед установкой обязательно создайте полную резервную копию базы данных Apriso и снапшот виртуальной машины сервера приложений.
• Остановите службы Apriso и пул приложений в IIS (если используется веб-сервер Microsoft).
• Установите загруженный патч согласно инструкции вендора.
• Перезапустите веб-сервер для применения изменений:

iisreset /restart

• Проверьте работоспособность системы и убедитесь, что версия продукта обновилась.

Временные меры

Если немедленная установка патча невозможна в связи с бизнес-процессами, необходимо внедрить компенсирующие меры для снижения риска эксплуатации:

• Сетевая изоляция: Ограничьте доступ к серверам DELMIA Apriso. Убедитесь, что приложение не торчит в публичный интернет. Доступ должен осуществляться только из доверенных внутренних сегментов сети (VLAN для производства) или через VPN.
• Настройка WAF (Web Application Firewall): Внедрите правила WAF для блокировки типичных пейлоадов десериализации. Необходимо анализировать входящий трафик на наличие сигнатур известных утилит генерации пейлоадов (например, ysoserial или ysoserial.net) и блокировать подозрительные бинарные потоки или специфичные заголовки.
• Принцип наименьших привилегий: Убедитесь, что учетная запись, от имени которой работает DELMIA Apriso, обладает минимально необходимыми правами. Она не должна иметь прав локального администратора на сервере. Проверить текущие учетные записи пулов приложений можно командой:

Get-IISAppPool | Select-Object Name, State, ProcessModel

• Мониторинг и EDR: Настройте строгий мониторинг процессов на сервере приложений. Обращайте особое внимание на запуск подозрительных дочерних процессов (таких как cmd.exe, powershell.exe, wscript.exe) от родительского процесса веб-сервера (например, w3wp.exe или процессов Java, в зависимости от архитектуры конкретного модуля Apriso).