🧩 Уязвимости в Solar AppScreener... были, но устранены Исследователи СайберОК Роберт Торосян и xh4vm обнаружили несколько уязвимостей в статическом анализаторе безопасности приложений (SAST) Solar appScreener. 📣 Пользователи CyberOK СКИПА PentOps были уведомлены 10 ноября. 👤 User Enumeration • COK-2025-11-02 / BDU:2026-00590 • Уязвимы все версии до 3.15.7 включительно • CVSS 3.1 AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 🔸 5.3 — средний уровень опасности Описание: Уязвимость позволяет неавторизованно перечислять существующих пользователей, что создает предпосылки для последующих атак, таких как Brute Force или Password Spraying. 🌐 Blind SSRF • COK-2025-11-04 / BDU:2026-00382 • Уязвимы все версии до 3.15.7 включительно • CVSS 3.1 AV:N / AC:L / PR:L / UI:N / S:C / C:L / I:N / A:L 🔸 6.4 — средний уровень опасности Описание: Уязвимость позволяет злоумышленнику осуществлять несанкционированные HTTP-запросы от имени уязвимой системы, что может быть использовано для сканирования внутренней инфраструктуры и анализа на предмет открытых портов веб-приложений, подбора учетных данных к другим инстансам Jira, а также для организации атак на отказ в обслуживании путем отправки запросов на подконтрольные информационные ресурсы с большим объемом возвращаемой информации. ✉️ Email Spoofing • COK-2025-11-01 / BDU:2026-00383 • Уязвимы все версии до 3.15.7 включительно • CVSS 3.1 AV:N / AC:L / PR:L / UI:N / S:C / C:N / I:H / A:N 🔻 7.7 — высокий уровень опасности Описание: Уязвимость позволяет отправлять электронные письма от имени легитимного корпоративного адреса с произвольным текстовым содержимым. 🛡 Рекомендации • Обновиться до актуальной версии 3.15.8 или выше • Провести аудит на User Enumeration / SSRF / Email Spoofing в собственных системах. Комментарий от "Солара": Популярные продукты всегда привлекают внимание независимых исследователей. В сотрудничестве с экспертами СайберОК были выявлены потенциальные уязвимости. Возможные риски были снижены благодаря тому, что клиенты используют on-prem-решение. По итогам дополнительного аудита уязвимости устранены, информация об этом опубликована на сайте ФСТЭК. Рекомендуем всем пользователям, использующим версии ниже 3.15.8 обновить решение. Вы можете сделать это через Личный Кабинет. 🤝 Благодарим команду "Солар" за профессиональное взаимодействие и оперативное устранение выявленных уязвимостей.