Критическая уязвимость RCE в Litematica для Minecraft 1.21+: полный технический разбор и подробная инструкция о том, как её исправить
6 июля 2026 года в экосистеме моддинга Minecraft Java Edition произошел серьезный инцидент безопасности. В популярном клиентском моде Litematica, который используют миллионы игроков для работы со схематиками, обнаружена уязвимость удаленного выполнения кода (Remote Code Execution, RCE). Проблема затрагивает все версии мода для Майнкрафта 1.21 и выше, а также связанный с ним серверный мод Servux. Разработчики уже выпустили патчи, но игрокам, которые не обновились, угрожает реальный риск компрометации своих систем.
Опытный Администратор Майнкрафт Серверов Пётр (for_users) с опытом создания Майнкрафт Серверов более 10 лет в этой статье даёт полный гайд по устранению уязвимости в ЛайтМатике и полный технический разбор уязвимости.
Что такое Litematica и Servux
Litematica — это клиентский мод, который позволяет загружать, просматривать и размещать в мире схематические файлы (.litematic). По сути, это современная замена старого Schematica, работающая на Fabric и LiteLoader. Мод показывает голографическую проекцию постройки, помогает сверять блоки и управлять материалами.
Servux — это серверное дополнение, которое расширяет функциональность клиентских модов автора (masa) в многопользовательской игре. Оно передает данные о структурах, границах чанков и другую информацию от сервера к клиенту. Servux никогда не нужен в одиночной игре и не устанавливается на клиент, только на сервер.
Суть уязвимости: arbitrary file write и path traversal
Проблема кроется в механизме передачи файлов между сервером и клиентом. В уязвимых версиях Litematica отсутствует должная валидация входящих данных при получении файлов от сервера. Злоумышленный сервер (или скомпрометированный сервер с уязвимой версией Servux) может отправить клиенту произвольный файл, который запишется не только в папку схематиков, но и в любую другую директорию на диске игрока.
КОРЕНЬ ПРОБЛЕМЫ: CWE-22: Path Traversal (Свободное Путешествие по Путям-Директориям)
ЦЕПОЧКА УЯЗВИМОСТЕЙ:
CWE-22 -> клиент пишет файл в произвольную директорию
CWE-73 (External Control of File Name or Path) -> сервер диктует, куда и с каким именем
Дальше либо CWE-78 (OS Command Injection), если записанный файл является исполняемым и запускается, либо просто подмена существующих библиотек/скриптов автозагрузки -> Удалённое выполнение произвольного кода и дальнейшая кража информации / полный захват системы.
По сути, это классическая атака типа path traversal (или directory traversal). Сервер указывает путь вроде ../../../windows/system32/... или аналогичный для операционной системы игрока, и клиент без проверки записывает файл туда, куда ему сказали. Это arbitrary file write — запись произвольных файлов в произвольные места.
Как это превращается в RCE? Если злоумышленник может записать файл куда угодно, он может:
- перезаписать исполняемые файлы в директории игры или лаунчера
- записать скрипт в автозагрузку системы
- подменить конфигурационные файлы Java или Minecraft
- разместить вредоносную DLL или библиотеку, которую игра подгрузит при следующем запуске
Именно поэтому уязвимость классифицируется как RCE — выполнение кода на машине жертвы. По факту, зайдя на вредоносный сервер с уязвимой версией Litematica, вы можете получить на свой ПК произвольный исполняемый файл, который сработает немедленно или при следующем запуске системы.
Затронутые версии и как исправить уязвимость в LiteMatica

Уязвимость присутствует во всех версиях Litematica на Minecraft 1.21+, выпущенных до 6 июля 2026 года. Ниже перечислены безопасные версии для каждой ветки Майнкрафта:
| Версия Minecraft | Безопасная версия Litematica |
|---|---|
| 1.21 — 1.21.1 | 0.19.61 и выше |
| 1.21.2 — 1.21.3 | 0.20.9 и выше |
| 1.21.4 | 0.21.7 и выше |
| 1.21.5 | 0.22.5 и выше |
| 1.21.6 — 1.21.8 | 0.23.7 и выше |
| 1.21.9 — 1.21.10 | 0.24.8 и выше |
| 1.21.11 | 0.26.11 и выше |
| 26.1.x | 0.27.9 и выше |
| 26.2 | 0.28.3 и выше |
Если ваша версия Litematica ниже указанной для соответствующей версии Minecraft — вы в зоне риска. Это касается как релизов, так и dev-сборок до указанных номеров.
Единственный выход — ПОЛНОЕ удаление старого .jar и установка свежей версии LiteMatica.
Вы можете скачать последнюю версию мода Litematica.
Если Вы подозреваете, что играли на серверах с уязвимой версией мода или уже подверглись заражению, то мы максимально рекомендуем Вам:
- Сменить ВЕЗДЕ авторизационные данные
- Если на уязвимом устройстве были криптокошельки — НЕМЕДЛЕННО вывести с них средства, желательно — на холодные (COLD WALLET). Обязательно проверьте, не подменяется ли адрес кошелька при вставке.
- Полностью отключить интернет
- Загрузить через флешку PORTABLE версию любой доступной утилиты для нейтрализации вирусов (KVRT, Malwarebytes, DR WEB), а так же использовать полную проверку защитника Windows (Актуально для современных сборок 10 и 11 Виндовс).
- Если подозреваете, что действия не помогли решить заражение — сделать ПОЛНУЮ Переустановку операционной системы с предварительным сохранением всех важных данных.
Вектор атаки: как это происходит в игре

Атака реализуется через сетевое взаимодействие. Когда игрок с уязвимой версией Litematica заходит на сервер, сервер может инициировать передачу файла под видом схематики. Клиент принимает пакет данных, не проверяя, является ли полученный контент действительно .litematic-файлом, и не ограничивает путь записи директорией схем.
Важно понимать: уязвимость работает даже если на сервере нет установленного Servux. Достаточно, чтобы сервер отправил специально сформированный пакет, который Litematica примет за легитимную передачу схемы. Однако наличие Servux на сервере может расширить поверхность атаки, так как этот мод официально обеспечивает канал передачи данных для клиентских модов masa.
Что делать прямо сейчас для устранения уязвимости.
- Обновите Litematica до последней версии для вашей версии Minecraft. Скачивайте только с официальных страниц Modrinth или CurseForge. Не берите jar-файлы из Discord, Telegram или файлообменников — есть риск, что они уже содержат вредоносный код.
- Удалите старые jar-файлы из папки mods. Не оставляйте уязвимые версии рядом с новыми, чтобы случайно не запустить их при смене профиля.
- Обновите Servux, если вы администратор сервера. Уязвимость касается и серверной части, так что держать старый Servux — плохая идея.
- Не заходите на незнакомые сервера с уязвимой версией мода. Даже если сервер выглядит легитимным, он может быть скомпрометирован.
- Проверьте папку .minecraft/schematics и другие директории на наличие подозрительных файлов, если вы играли на публичных серверах до обновления. Выше в статье есть подробная инструкция о том, что делать при подозрении на заражение/взлом.
Почему это важно для всего сообщества

Litematica — это не какой-то мелкий мод. Это один из ключевых инструментов для технических игроков, строителей, редстоунеров и администраторов серверов. Уязвимость в нем затрагивает огромную аудиторию, включая контент-мейкеров и разработчиков карт.
Интересно, что официальный мейнтейнер оригинального мода (maruohon) прекратил активную поддержку версий 1.20.5+. Разработку и портирование на новые версии взяла на себя Sakura-Ryoko, чьи сборки теперь публикуются на Modrinth. Именно эти порты содержат уязвимость, что подчеркивает риски, связанные с передачей крупных проектов между мейнтейнерами в условиях быстрых обновлений Minecraft.
Итог
Уязвимость RCE в Litematica — это реальная угроза, а не теоретическая возможность. Механизм arbitrary file write через path traversal позволяет вредоносному серверу записать файлы на ваш компьютер, что ведет к полной компрометации системы. Если вы используете Litematica на Minecraft 1.21+, обновление до патченной версии — не рекомендация, а необходимость.
Если вы уже обновились или проверили свои версии — напишите в комментариях, на какой версии Майнкрафт играете и как часто пользуетесь Litematica на публичных серверах. Этот опыт поможет другим игрокам понять масштаб проблемы и вовремя принять меры.
Если подверглись / подозреваете заражение, обязательно поделитесь информацией в комментариях. Это поможет другим игрокам своевременно и точно решить проблему как Вам, так и себе. Вы не одни!








Добавить комментарий