Компания SAP провела очередной «День патчей» в октябре 2025 года, выпустив исправления для 13 новых уязвимостей в своих продуктах и обновления для четырёх ранее обнаруженных нот безопасности. Ведущий инженер компании «Газинформсервис» и эксперт SafeERP Тимур Цыбденов выделил три уязвимости, которые требуют повышенного внимания: CVE-2025-42944, CVE-2025-42937 и CVE-2025-42910.
На переднем плане вновь оказалась уязвимость CVE-2025-42944 с оценкой CVSS 10.0, которая была впервые обнаружена в сентябрьский день обновлений SAP. «То, что компания была вынуждена выпустить дополнительные меры защиты всего через месяц после первоначального исправления, говорит о чрезвычайной серьёзности данной угрозы и её потенциальной масштабируемости. Напомню, что, используя данную уязвимость, атакующий может запустить любую команду операционной системы, на которой работает сервер SAP. В последствии злоумышленник может получить полный контроль над сервером SAP Java с теми же правами, что и учётная запись, от которой работает серверный процесс — <SID>adm. В новом исправлении введён глобальный фильтр (jdk.serialFilter), который обеспечивает дополнительный уровень защиты от уязвимостей небезопасной десериализации», — отметил ведущий инженер компании «Газинформсервис» Тимур Цыбденов.
Он добавил, что также требует особого внимания уязвимость CVE-2025-42937 «Уязвимость обхода каталогов в службе печати SAP» с оценкой CVSS 9.8. Опасность уязвимости заключается в том, что сервис печати SAP (SAPSprint) при формировании пути к файлу использует данные, предоставленные пользователем без должной проверки. Вместо того чтобы жёстко задавать путь, он может принимать часть пути из запроса. Злоумышленник может подделать этот запрос и манипулировать параметром, который указывает на имя файла или путь, что может привести к нарушению доступности, целостности и конфиденциальности системы. Для эффективного аудита безопасности SAP-систем Тимур Цыбденов рекомендует использовать специализированные решения, такие как SafeERP.
Эксперт отметил ещё одну критичную уязвимость — CVE-2025-42910 с оценкой CVSS 9.0 «Уязвимость неограниченной загрузки файлов в SAP Supplier Relationship Management». «Серьёзность уязвимости заключается в том, что система из-за отсутствия проверки типа или содержимого файла не проверяет MIME-типы и содержимое файлов на стороне сервера, полагаясь на данные, предоставленные клиентом. Злоумышленник, имея минимальные права в системе, может загрузить исполняемые файлы (например, .exe, .bin), маскируя их под документы, затем использовать встроенные механизмы SRM для рассылки вредоносных файлов контрагентам под видом легитимных документов, что открывает путь для целенаправленных атак на всю цепочку поставок. Скомпрометированный SRM-сервер может стать плацдармом для перемещения злоумышленника вглубь корпоративной сети», — заключил эксперт.
14-15 апреля 2026 года в Москве в кластере «Ломоносов» пройдёт специализированный практический форум по тематике ГосСОПКА.
Федеральное бюро расследований подтвердило факт несанкционированного доступа к своим внутренним сетям.
Согласно аналитике центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар», число утечек баз данных российских компаний в 2025 году снизилось на 23% по сравнению с 2024 годом — до 367 инцидентов.
Французская жандармерия при содействии ФБР задержала на острове Сен-Мартен Джона Дагиту, подрядчика правительства США, обвиняемого в хищении более $46 млн в криптовалюте у Службы маршалов США (U.
APK-файл семейства Pulsar SMS Stealer обнаружили эксперты компании «Перспективный мониторинг».
При участии более 100 представителей компаний Санкт-Петербурга, в том числе ООО «Газинформсервис», состоялось первое в 2026 году заседание Экспортного совета при Губернаторе города.
Из опроса SuperJob следует, что сегодня доля предприятий и организаций, практикующих дистанционную занятость, составляет 35%.
Компания «Газинформсервис», разработчик российских продуктов в области кибербезопасности, впервые примет участие в INFOSTART TEAM EVENT 2026 в Москве в статусе партнёра секции «Кибербезопасность и защита данных» и представит собственный стенд.
1000 сотрудников Администрации города Иванова начали пользоваться российской почтовой системой RuPost.
С 5 марта в Москве фиксируются масштабные перебои в работе мобильного интернета и голосовой связи.
