| Разработчики: | Combodo |
| Дата последнего релиза: | 2016/02/10 |
| Технологии: | ITSM - Системы управления IT-службой, Система управления ИТ-инфраструктурой (устройствами, конфигурациями) |
Содержание |
Основная статья: IT Service Management (ITSM)
iTop - open-source-продукт с функционалом CDMB (базы данных управления конфигурации) и ITSM.
2025: Устранение уязвимости, позволяющей удаленно выполнять команды в ОС
Эксперт PT SWARM Максим Ильин помог устранить уязвимость в опенсорсном веб-приложении iTop, предназначенном для автоматизации управления ИТ-инфраструктурой и обеспечения бесперебойной работы сервисов. Эксплуатация уязвимости могла бы позволить атакующему удаленно выполнять команды в операционной системе и впоследствии проникнуть во внутреннюю инфраструктуру компании или продолжить перемещение по сети. Разработчик проекта был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление. Об этом Positive Technologies сообщили 21 ноября 2025 года.
Уязвимость PT-2025-46182[1] (CVE-2025-47286, BDU:2025-06926), затронувшая версии iTop младше 2.7.13 и 3.2.2 соответственно, оценена в 8,6 балла из 10 по шкале CVSS 4.0, что соответствует высокому уровню угрозы. Для успешной атаки с помощью этой уязвимости злоумышленнику достаточно было бы подобрать пароль пользователя с административными правами, после чего он смог бы удаленно выполнить произвольный код. Брешь потенциально открывала нарушителю доступ к внутренней инфраструктуре и данным компаний.Эффективность вместо расходов: на чем реально будет держаться ИБ в 2026 году 
Для устранения недостатка безопасности следует как можно скорее обновить веб-приложение iTop до версии не ниже 2.7.13 или 3.2.2. Если загрузить исправление не получается, эксперт Positive Technologies рекомендует изъять систему с внешнего периметра организации, заменить пароли сотрудников на сложные и включить многофакторную аутентификацию. Данные меры снизят риск того, что атакующему удастся получить несанкционированный доступ к системе.
iTop пользуется спросом: приложение добавлено в избранное почти 1000 пользователей и имеет более 250 копий репозитория на веб-сервисе GitHub.
Чтобы воспользоваться уязвимостью, злоумышленнику предварительно потребовалось бы установить административный доступ к программному обеспечению iTop. Гипотетически он мог подобрать логин и пароль пользователя или найти систему, в которой приложение установлено не до конца. Во втором случае нарушитель смог бы сам завершить установку и назначить пароль администратора. Завладев повышенными привилегиями, атакующий имел бы возможность запустить процедуру резервного копирования, в процессе которого смог бы выполнить произвольный код.
 | Успешная эксплуатация уязвимости могла бы позволить атакующему получить начальный доступ к внутренней инфраструктуре компании либо помочь в продвижении по ней, — рассказал Максим Ильин, специалист отдела тестирования на проникновение Positive Technologies. — Оказавшись в корпоративном сегменте внутренней сети, злоумышленник получил бы доступ к конфиденциальным данным организации. Впоследствии нарушитель гипотетически мог зашифровать чувствительную информацию, чтобы потребовать выкуп. |  |
2016: iTop 2.2.1
10 февраля 2016 года компания Combodo объявила о выпуске модифицированного релиза продукта iTop 2.2.1[1].
iTop помогает организовать сервис технической поддержки (helpdesk), хранить информацию об оборудовании и активах (сети, лицензии и т.п.) и формировать отчёты. Исходный код написан на PHP и в качестве базы данных используется MySQL. Лицензия продукта — GNU Affero GPL v3.
В релизе iTop версии 2.2.1 внесены исправления ошибок (множество файлов в tmp при бэкапах с ошибками, зависание надписи «A restore is running. Please wait...», нули в начале строк при экспорте в Excel и т.п.), сделаны изменения, затрагивающие модуль поддержки и синхронизации с электронной почтой.
Примечания
Подрядчики-лидеры по количеству проектов
Naumen (Наумен консалтинг) (339) Softline (Софтлайн) (103) Okdesk (Облачные Решения) (51) Деснол, Desnol (Деснол Софт Проджект) (40) Террасофт (Terrasoft, ТС-Консалтинг) (38) Другие (660) Naumen (Наумен консалтинг) (18) Elma (Элма) (11) SimpleOne (Симпл 1) (10) Softline (Софтлайн) (3) КСК Технологии (2) Другие (14) Naumen (Наумен консалтинг) (10) Elma (Элма) (5) SimpleOne (Симпл 1) (5) Деснол, Desnol (Деснол Софт Проджект) (4) Компания Комплит (Complete) (2) Другие (22)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Naumen (Наумен консалтинг) (8, 418) Microsoft (14, 108) OmniNet (ОмниНет) (4, 55) Смартнат (1, 53) Okdesk (Облачные Решения) (1, 52) Другие (630, 589) Naumen (Наумен консалтинг) (5, 27) Elma (Элма) (1, 11) SimpleOne (Симпл 1) (1, 10) Смартнат (1, 9) Деснол, Desnol (Деснол Софт Проджект) (2, 2) Другие (9, 11) Naumen (Наумен консалтинг) (4, 16) SimpleOne (Симпл 1) (1, 8) Деснол, Desnol (Деснол Софт Проджект) (2, 5) Elma (Элма) (1, 5) Смартнат (1, 4) Другие (14, 17) Naumen (Наумен консалтинг) (3, 15) Okdesk (Облачные Решения) (1, 8) SimpleOne (Симпл 1) (1, 5) 1С Акционерное общество (1, 4) Деснол, Desnol (Деснол Софт Проджект) (1, 4) Другие (18, 23)Распределение систем по количеству проектов, не включая партнерские решения
Naumen Service Desk - 295 ITSM365.ru - 53 Okdesk Система учета и регистрации заявок для малых и средних сервисных компаний - 52 OmniTracker - 41 Service Desk Итилиум - 33 Другие 661 ELMA365 Service - 11 SimpleOne ITSM (IT Service Management) - 10 ITSM365.ru - 9 Naumen Service Desk - 7 КСК.Service Desk (KCK.SD) - 2 Другие 12 SimpleOne ITSM (IT Service Management) - 8 Naumen Service Desk - 7 ELMA365 Service - 5 ITSM365.ru - 4 1С:Itilium - 3 Другие 17 Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (28) Астра Группа компаний (22) Глобус-телеком (16) Флант (Flant) (9) ALP Group (КТ-АЛП, АЛП-ИС) (6) Другие (56) Астра Группа компаний (1) Высокие цифровые технологии, ВЦТ (HD Tech) (1) Гринатом Простые решения (1) Лаборатория Числитель (1) МСТ (Мастерская Современных Технологий) (1) Другие (1) Астра Группа компаний (8) Флант (Flant) (3) Астра Консалтинг (2) Softline (Софтлайн) (1) Диджитал Спирит (Digital Spirit) (1) Другие (3) Астра Группа компаний (5) Флант (Flant) (5) Инфосистемы Джет (3) Лаборатория Числитель (3) КНС Групп (Yadro) (2) Другие (5)Данные не найдены
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Microsoft (1, 50) РусБИТех-Астра (ГК Астра) (1, 31) Глобус-телеком (1, 16) Флант (Flant) (3, 11) Лаборатория Числитель (4, 7) Другие (24, 12) РусБИТех-Астра (ГК Астра) (1, 3) Лаборатория Числитель (1, 1) Гринатом Простые решения (1, 1) Другие (0, 0) РусБИТех-Астра (ГК Астра) (1, 8) Флант (Flant) (1, 6) Лаборатория Числитель (2, 5) КНС Групп (Yadro) (1, 2) Другие (0, 0)Данные не найдены
Распределение систем по количеству проектов, не включая партнерские решения
Microsoft System Center Configuration Manager (SCCM) - 50 РусБИТех-Астра: ALD Pro - 31 ПАК СКИТ.Мониторинг - 16 Flant Deckhouse Kubernetes Platform (DKP) - 11 ALP Аргус - 6 Другие 13 РусБИТех-Астра: ALD Pro - 3 Лаборатория Числитель: Штурвал Система управления контейнерами - 1 Гринатом: Атом.Порт - 1 Другие 0 РусБИТех-Астра: ALD Pro - 8 Flant Deckhouse Kubernetes Platform (DKP) - 6 Лаборатория Числитель: Пульт Система мониторинга - 3 Yadro Суприм (Yadro Supreme) - 2 Лаборатория Числитель: Штурвал Система управления контейнерами - 2 Другие 0 
