Обзор уязвимостей за 10 марта 2026: внедрение кода в ingress-nginx, семь уязвимостей модемов Unisoc и выполнение команд в Budibase

10 марта 2026 года опубликовано 85 новых CVE. Максимальная оценка дня составила 8.8 по CVSS и досталась очередной уязвимости внедрения конфигурации в контроллере Kubernetes ingress-nginx. Семь уязвимостей в модемах Unisoc NR позволяют удалённо «уронить» мобильную связь на Android-смартфонах без какой-либо аутентификации. Внедрение команд ОС в Budibase через подключение к PostgreSQL замыкает тройку с оценкой CVSS 8.6.

Ingress-nginx: внедрение конфигурации через аннотации продолжается

CVE-2026-3288 позволяет внедрять произвольные директивы nginx через аннотацию rewrite-target. Злоумышленник с правами на создание или изменение ресурсов Ingress добавляет в аннотацию вредоносную конфигурацию, которая попадает в сгенерированный файл nginx. Это приводит к выполнению произвольного кода в поде контроллера (pod, минимальная единица запуска в Kubernetes). В стандартной установке этот под имеет доступ ко всем объектам Secrets (хранилище паролей, токенов и сертификатов) в Kubernetes-кластере.

Оценка CVSS 3.1 составляет 8.8 (CWE-20, некорректная проверка входных данных). Для атаки нужны минимальные привилегии, участие пользователя не требуется. Исследователь Kai Aizen сообщил о проблеме комитету безопасности Kubernetes, который опубликовал бюллетень 9 марта 2026 года. Исправления вошли в ingress-nginx версий 1.13.8, 1.14.4 и 1.15.0.

Инъекция конфигурации через аннотации ingress-nginx превратилось в повторяющуюся проблему. В марте 2025 года Wiz Research раскрыла IngressNightmare, цепочку из четырёх уязвимостей (включая CVE-2025-1974 с оценкой CVSS 9.8), позволявших выполнить код без аутентификации через механизм проверки входящих запросов (admission webhook). По оценке Wiz, 43% облачных сред были уязвимы, а более 6 500 кластеров выставляли этот механизм в публичный интернет.

В апреле 2025 года Pentera Labs нашла ещё три точки внедрения. Одна из них затрагивала ту же аннотацию rewrite-target, которую сейчас эксплуатирует CVE-2026-3288. В феврале 2026 года вышли ещё две CVE по аннотациям. CVE-2026-24512 затрагивает paths.path, а CVE-2026-1580 позволяет внедрение через auth-method. Каждое исправление закрывает одну аннотацию. Исследователи находят следующее непроверенное поле в течение нескольких месяцев.

По данным бюллетеня Kubernetes, подозрительные данные в полях rules.http.paths.path могут указывать на попытки эксплуатации. Комитет безопасности рекомендует обновить ingress-nginx до 1.15.0 и ограничить через RBAC круг лиц, способных создавать ресурсы Ingress.

Семь уязвимостей модемов Unisoc NR позволяют удалённо отключить связь

Семь CVE затрагивают прошивку модемов Unisoc NR (New Radio, стандарт связи 5G). Уязвимы чипы T8100, T8200, T8300 и T9100, а для CVE-2025-69278 и CVE-2025-61612 список расширяется на T7300. У всех семи одинаковый профиль. CWE-20 (некорректная проверка входных данных), CVSS 7.5, удалённая эксплуатация без аутентификации и без участия пользователя.

Успешная эксплуатация обрушивает модемную подсистему. Пользователь теряет сотовую связь, звонки обрываются, мобильный интернет пропадает. Утечки данных не происходит. Затронуты Android версий с 13 по 16.

Чипы Unisoc стоят в бюджетных смартфонах по всей Азии, Африке и Латинской Америке. По данным Counterpoint Research за 2024 год, Unisoc занимает около 10% мирового рынка мобильных процессоров. Эти чипы попадают в устройства Samsung, Motorola, Nokia и десятков региональных производителей.

OffSeq Threat Radar отнёс все семь CVE к категории высокого риска. Привилегии не нужны, участие пользователя не требуется, сложность атаки низкая. Unisoc опубликовал бюллетень 9 марта 2026 года, но не привязал к нему конкретные обновления прошивки. Google обычно включает исправления Unisoc в ежемесячный бюллетень безопасности Android. Владельцам смартфонов на чипах T-серии стоит следить за обновлениями от своего производителя.

Budibase: инъекция команд ОС через подключение к PostgreSQL

В платформе Budibase обнаружена инъекция команд ОС. Budibase позволяет создавать приложения с минимумом ручного кода (low-code) и распространяется с открытым исходным кодом. CVE-2026-25041 (CWE-78) получила 8.6 по CVSS 4.0. В версиях до 3.23.22 включительно модуль интеграции с PostgreSQL подставляет пользовательские значения (имя базы, адрес сервера, пароль) напрямую в строку команды ОС без какой-либо очистки. Уязвимый код находится в packages/server/src/integrations/postgres.ts.

Для атаки нужен доступ на уровне администратора Budibase, что сужает круг потенциальных атакующих. Но в средах с общим хостингом или в организациях, где несколько человек имеют права администратора, внутренний злоумышленник или скомпрометированная учётная запись получают возможность выполнить произвольные команды на сервере. По данным бюллетеня Budibase на GitHub, исправление внесено в основную ветку. Администраторам стоит обновиться и проверить, кому выданы права доступа к платформе.

Eventobot: SQL-инъекция с наивысшим CVSS, но минимальным реальным риском

CVE-2025-40639 набрала 8.7 по CVSS (CWE-89, SQL-инъекция) в Eventobot, нишевом PHP-инструменте для управления мероприятиями. INCIBE (национальный институт кибербезопасности Испании) присвоил CVE 9 марта 2026 года. Уязвимость находится в /assets/php/calculate_discount.php (параметр promo_send) и позволяет авторизованному злоумышленнику читать, изменять и удалять записи базы данных по сети.

Данных о количестве установок Eventobot нет. Практический риск для большинства читателей минимален. Патч на момент публикации не вышел.