Orion soft устранила уязвимости в StarVault после пентестов

Екатерина Быстрова 26 Мая 2026 - 17:44

Корпорации

Orion soft

StarVault

Системы аутентификации

Системы управления аутентификацией

Системы для анализа защищенности информационных систем

Средства тестирования на проникновение

Аудит информационной безопасности

Уязвимости программ

Патчи

...

Orion soft устранила уязвимости в StarVault после пентестов

Orion soft рассказала о результатах проверки защищённости системы управления секретами StarVault. Пентесты проводили специалисты CICADA8, а по итогам тестирования разработчики исправили две ошибки безопасности, связанные с контролем доступа и устойчивостью сервера к отказу в обслуживании.

Проверки проходили весной 2026 года в рамках программы комплексного анализа защищённости продуктов Orion soft.

Эксперты CICADA8 искали уязвимости и потенциальные ошибки, которые могли бы помочь злоумышленнику получить доступ к компонентам платформы, пользовательским данным и другим секретам.

Тестирование проводилось по модели grey box — то есть специалисты работали как условный атакующий, который уже знает архитектуру системы, имеет учётную запись, VPN-доступ и достаточно высокий технический уровень. Такой сценарий ближе к реальным целевым атакам, где злоумышленники сначала долго изучают инфраструктуру, а уже потом пытаются её ломать.

Во время проверки использовались коммерческие и опенсорс-сканеры уязвимостей, Burp Suite Professional, инструменты фазинга, перебора директорий, проверки SQL-инъекций и другие специализированные средства.

Пентест разбили на 11 этапов. Специалисты анализировали сетевую конфигурацию, HTTP-методы, резервные копии, доступ к файлам, сценарии захвата поддоменов и обработку пользовательских данных.

Отдельно тестировали устойчивость к XSS и различным типам инъекций — SQL, XML, SSRF, LDAP, XPath, инъекциям команд ОС и другим техникам. Также проверялись сценарии на стороне клиента: DOM-XSS, внедрение JavaScript, clickjacking, CORS и WebSockets.

По итогам тестирования Orion soft выпустила патч StarVault 1.4.1. В частности, разработчики скорректировали обработку пользовательских путей в хранилище «ключ-значение», чтобы исключить обход механизмов контроля доступа через специальные конструкции в путях.

Кроме того, в системе добавили ограничение, которое не позволяет пользователям с высокими привилегиями при настройке подключений к базам данных инициировать отказ в обслуживании сервера.

В компании также сообщили, что сейчас StarVault проходит сертификацию ФСТЭК России для использования в инфраструктурах с КИИ.

Следующая главная новость »

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 26 Мая 2026 - 20:00

Сталкерский софт (stalkerware) Домашние пользователи Лаборатория Касперского

В 6 из 10 случаев цифровой агрессор — знакомый человек

Цифровое насилие — это не только мутные анонимы из интернета и токсичные комментарии от людей с аватаркой кота. По данным глобального отчёта «Лаборатории Касперского», почти 60% жертв сталкивались с цифровым насилием со стороны людей из своего окружения.

Чаще всего агрессорами оказывались друзья — на них пришлось 15% случаев. Дальше идут нынешние партнёры — 10%, коллеги — 8%, члены семьи — 7% и бывшие партнёры — 6%.

То есть проблема часто сидит не где-то «в интернете вообще», а в переписках, семейных чатах, отношениях, работе и других местах, где вроде бы должно быть безопаснее.

Отдельно исследователи отмечают неприятную закономерность: люди, которые сталкивались с цифровым насилием со стороны друзей, партнёров или родственников, чаще признавались, что сами допускали похожее поведение по отношению к близким.

Это может говорить о том, что цифровая агрессия иногда превращается в привычный стиль общения: контроль, давление, слежка, обиды и месть переезжают в смартфон и становятся частью повседневности.

В Нижегородском женском кризисном центре отмечают, что цифровое насилие нередко используется как инструмент контроля, преследования и психологического давления со стороны близких людей. По данным центра, 72% обращений связаны с насилием со стороны супруга или партнёра, ещё 10% — со стороны родителей или родственников.

Поколенческий разрыв тоже заметен. Среди зумеров 81% знают термин «цифровое насилие», а почти 60% заявили, что за последний год сталкивались хотя бы с одной его формой. Среди беби-бумеров термин знаком 64% респондентов.

Женщины чаще говорят о чувстве уязвимости в цифровой среде. Небезопасно в интернете себя чувствуют 62,5% респонденток против 54% мужчин.

Психологи подчёркивают: когда агрессором становится знакомый человек, вред ощущается сильнее. К страху и потере контроля добавляется предательство, особенно если речь идёт о партнёре, друге, бывшем партнёре или коллеге. А технологии превращаются в инструмент кибермести: доступ к аккаунтам, переписки, фотографии, геолокация и старые пароли внезапно становятся оружием.

С точки зрения кибербезопасности эта история тоже сложнее обычной атаки. Угроза может идти не от неизвестного хакера, а от человека, у которого когда-то был доступ к устройству, аккаунту, семейной подписке, общему облаку или паролю на всякий случай.

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!