Апрельский цикл обновлений безопасности в этом году получился unusually крупным сразу у нескольких вендоров. Главный объем пришелся на Microsoft: компания выпустила апрельский Patch Tuesday с исправлениями для 167 уязвимостей, включая две уязвимости нулевого дня — одну уже использовали в атаках, вторая была раскрыта публично до выхода патча. Официальные апрельские релизные заметки Microsoft подтверждают выпуск обновлений 14 апреля 2026 года, а независимые разборы BleepingComputer и Tenable уточняют масштаб и состав пакета.
Самой заметной проблемой у Microsoft стала CVE-2026-32201 в SharePoint Server. По данным Tenable и BleepingComputer, это уязвимость подмены, которая уже эксплуатировалась на момент выхода исправления. Microsoft одновременно выпустила апрельские обновления для SharePoint Server 2016, 2019 и Subscription Edition, что делает этот баг приоритетом для компаний с локальными установками SharePoint.
Вторая уязвимость нулевого дня в пакете Microsoft — CVE-2026-33825 в Microsoft Defender for Endpoint. Ее, по данным Tenable, публично раскрыли до выхода обновления. Это означает критичную срочность установки патчей: когда технические детали уже известны, окно для атак обычно быстро сокращается.
На стороне Adobe самым важным событием стало не плановое обновление, а экстренный бюллетень APSB26-43 для Acrobat и Reader. Adobe официально пишет, что CVE-2026-34621 уже эксплуатируется в реальных атаках и может привести к удаленному выполнению кода — то есть к запуску вредоносного кода на устройстве жертвы. Для такого сценария обычно достаточно открыть специально подготовленный PDF-файл.
У SAP апрельский Security Patch Day принес 19 новых security заметок и еще одно обновление к ранее выпущенной заметке. SAP отдельно рекомендует внедрять исправления в приоритетном порядке. Дополнительный анализ Onapsis указывает, что в апрельском наборе была как минимум одна HotNews-заметка и несколько проблем высокого приоритета.
Самая тревожная деталь у SAP — баги, позволяющие злоумышленнику выполнять опасные действия в бизнес-системах. Например, NVD описывает CVE-2026-0488 в SAP CRM и SAP S/4HANA: авторизованный атакующий может провести SQL-инъекцию — то есть подсунуть системе вредоносную команду к базе данных — и добиться полного компрометационного сценария с высоким ущербом для конфиденциальности, целостности и доступности данных. Хотя этот конкретный CVE не обязательно был центральным пунктом именно апрельского дня патчей, он хорошо показывает уровень риска в SAP-ландшафте этой весной.
Ivanti в этой волне тоже выкатила срочные обновления. В официальном advisory компания напоминает о критической уязвимости в Ivanti Neurons for ITSM для локальных установок: в зависимости от конфигурации неаутентифицированный удаленный атакующий может получить административный доступ к системе. Для корпоративных сервис-десков и ИТSM-платформ это особенно чувствительный сценарий, потому что такие системы часто связаны с учетными данными, инвентаризацией, заявками и внутренними административными процессами.
Главный вывод простой: апрельский Patch Tuesday в 2026 году требует приоритетного обновления — прежде всего из-за уже используемых в атаках уязвимостей в Microsoft SharePoint и Adobe Acrobat Reader, а также из-за критических исправлений для SAP и Ivanti.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
