В системе для видеоконференций VINTEO устранен критический баг

В российской системе видеоконференцсвязи VINTEO исправили критическую RCE-уязвимость, которая возникла из-за особенности реализации компонента с недостаточной фильтрацией пользовательских данных.

Сервер видеоконференцсвязи VINTEO предназначен для построения новой ВКС-инфраструктуры и масштабирования уже существующих сетей. По данным самого производителя, за 12 лет решения VINTEO позволили осуществить около 10 млн видеоконференций.

Проблема получила идентификатор BDU:2025-07296 (9,3 балла по шкале CVSS) и была обнаружена в январе 2025 года специалистами компании Positive Technologies Михаилом Ключниковым и Александром Стариковым при анализе кода ПО на тестовом стенде, предоставленном VINTEO для исследования.

Сообщается, что производитель был уведомлен об угрозе и оперативно выпустил патч для своих клиентов, полностью закрывший проблему, а затем подготовил полноценное обновление ПО с исправлением.

«В случае успешной эксплуатации уязвимости потенциальный атакующий мог выполнять произвольные команды и получить доступ к серверу и контролем над ним. Дальнейшие сценарии атак могли бы быть самыми разными», — комментирует Михаил Ключников, руководитель группы исследования ПО отдела тестирования на проникновение, Positive Technologies.

Уязвимость, устраненная в новом релизе, содержалась в VINTEO 30.0.0, и теперь пользователям рекомендуется как можно быстрее установить версию 30.2.0 или более новую.