- Автор темы
- #1
В российской системе видеоконференцсвязи VINTEO исправили критическую RCE-уязвимость, которая возникла из-за особенности реализации компонента с недостаточной фильтрацией пользовательских данных.
Сервер видеоконференцсвязи VINTEO предназначен для построения новой ВКС-инфраструктуры и масштабирования уже существующих сетей. По данным самого производителя, за 12 лет решения VINTEO позволили осуществить около 10 млн видеоконференций.
Проблема получила идентификатор BDU:2025-07296 (9,3 балла по шкале CVSS) и была обнаружена в январе 2025 года специалистами компании Positive Technologies Михаилом Ключниковым и Александром Стариковым при анализе кода ПО на тестовом стенде, предоставленном VINTEO для исследования.
Сообщается, что производитель был уведомлен об угрозе и оперативно выпустил патч для своих клиентов, полностью закрывший проблему, а затем подготовил полноценное обновление ПО с исправлением.
Сервер видеоконференцсвязи VINTEO предназначен для построения новой ВКС-инфраструктуры и масштабирования уже существующих сетей. По данным самого производителя, за 12 лет решения VINTEO позволили осуществить около 10 млн видеоконференций.
Проблема получила идентификатор BDU:2025-07296 (9,3 балла по шкале CVSS) и была обнаружена в январе 2025 года специалистами компании Positive Technologies Михаилом Ключниковым и Александром Стариковым при анализе кода ПО на тестовом стенде, предоставленном VINTEO для исследования.
Сообщается, что производитель был уведомлен об угрозе и оперативно выпустил патч для своих клиентов, полностью закрывший проблему, а затем подготовил полноценное обновление ПО с исправлением.
Уязвимость, устраненная в новом релизе, содержалась в VINTEO 30.0.0, и теперь пользователям рекомендуется как можно быстрее установить версию 30.2.0 или более новую.