Эксперты SolidLab обнаружили критические уязвимости в TrueConf Server
Эксперты SolidLab выявили критические уязвимости в популярном продукте для видеоконференцсвязи TrueConf Server. Недостатки были обнаружены в версии TrueConf Server v5.2.0.10225 под ОС Windows. Компания TrueConf выпустила обновления с исправлениями.
В обнаружении уязвимостей участвовали эксперты SolidLab Андрей Ситников, Сергей Герасимов и Георгий Носеевич. Недостатки в API аутентификации (CVE‑2022‑46764) и в реализации хранимых в PostgreSQL функций (CVE‑2022‑46763) позволяли неавторизованному злоумышленнику исполнять произвольный код на сервере TrueConf Server, что в итоге приводило к его полной компрометации.
«Процесс раскрытия проходил в постоянном контакте с представителями подразделения безопасности TrueConf. Команда оперативно отреагировала на выявленные проблемы, организовала максимально прозрачную коммуникацию на высоком техническом уровне», — отметил эксперт SolidLab Сергей Герасимов.
Пользователям ВКС‑системы TrueConf Server рекомендуется установить обновленные версии ПО с повышенным уровнем безопасности с сайта компании. Технический разбор обнаруженных недостатков будет опубликован позднее специалистами SolidLab.
Справочная информация
О компании TrueConf
TrueConf — российский разработчик программного обеспечения и пионер в отрасли видеоконференцсвязи, преобразивший рынок корпоративных коммуникаций в Восточной Европе. Решения TrueConf основаны на современной программной архитектуре и лишены недостатков традиционных ВКС-систем.
C TrueConf высококачественная видеоконференцсвязь становится доступной в корпоративных сетях любой сложности, в том числе на рабочих местах, мобильных устройствах, в переговорных комнатах через клиентские приложения и браузеры. Решение полностью совместимо с существующим оборудованием, не требует вложений в инфраструктуру и не создаёт рисков для ИТ-безопасности предприятия. Решениям TrueConf доверяют десятки тысяч компаний и миллионы пользователей по всему миру. TrueConf является членом ассоциаций «РУССОФТ», ISDEF, АРПП «Отечественный софт» и «АДЭ». С 2019 по 2021 год TrueConf был трижды отмечен аналитическим агентством Gartner и включен в магический квадрант решений для совместной работы, а также в ТОП-15 ведущих мировых поставщиков ВКС.
О компании SolidLab
Группа компаний SolidLab работает в области информационной безопасности более 10 лет, защищая организации от киберугроз. Компания предлагает полный комплекс услуг: от пентестов до защиты приложений, реагирования на инциденты и организации процессов SDLC. Эксперты SolidLab ежегодно выступают с докладами на профильных конференциях, являются активными участниками комьюнити и включены в залы славы по итогам баг‑баунти программ от лидеров рынка ИТ.