Обзор уязвимостей за 11 марта 2026. Обход аутентификации в Tutor LMS Pro, SQL-инъекция в системе АЗС и три RCE в продуктах Microsoft

За сутки опубликовано 420 новых уязвимостей. 208 из них затрагивают продукты, распространённые в российской инфраструктуре. WordPress, Microsoft Office, SharePoint, Fortinet FortiAnalyzer, GitHub Enterprise Server и PostgreSQL попали в список.

Три записи получили критические оценки CVSS от 9.3 до 9.8. Наиболее опасна уязвимость обхода аутентификации в плагине Tutor LMS Pro для WordPress.

Tutor LMS Pro для WordPress. Обход аутентификации без учётных данных (CVSS 9.8)

CVE-2026-0953 затрагивает плагин Tutor LMS Pro для WordPress во всех версиях до 3.9.5 включительно. Tutor LMS Pro позволяет создавать онлайн-курсы и насчитывает свыше 30 000 активных установок (по данным Wordfence).

Проблема находится в модуле Social Login. Плагин проверяет OAuth-токен от провайдера (Google, Facebook), но не сверяет адрес электронной почты из запроса с адресом из валидированного токена. Злоумышленник подставляет собственный валидный токен и указывает чужой адрес электронной почты. Если такой адрес зарегистрирован на сайте, плагин авторизует злоумышленника под этой учётной записью, включая администраторскую.

Уязвимость обнаружил исследователь Nguyen Tan Phat и сообщил о ней в Wordfence 30 декабря 2025 года. Themeum (разработчик плагина) выпустил исправление в версии 3.9.6 от 30 января 2026 года. Администраторам WordPress-сайтов с активным Tutor LMS Pro необходимо обновить плагин через панель управления. Если обновление невозможно прямо сейчас, стоит отключить модуль Social Login.

GetSimple CMS. CSRF ведёт к выполнению кода на сервере (CVSS 9.6)

CVE-2026-28495 обнаружена в GetSimpleCMS-CE v3.3.22 (Community Edition, активно поддерживаемый форк оригинального GetSimple CMS). Проблема находится в плагине massiveAdmin версии 6.0.3, который входит в состав дистрибутива.

Плагин massiveAdmin содержит модуль редактирования файла gsconfig.php. Форма редактора не проверяет CSRF-токен (CWE-352). Злоумышленник создаёт вредоносную веб-страницу и заманивает на неё администратора CMS. Браузер администратора автоматически отправляет запрос, который записывает произвольный PHP-код в конфигурационный файл, и этот код выполняется на сервере (CWE-94).

Оценка CVSS 9.6 отражает сетевой вектор атаки, низкую сложность и отсутствие требований к аутентификации со стороны злоумышленника. Официального патча на момент публикации нет.

Оригинальный GetSimple CMS не обновлялся с 2019 года, но CE-форк поддерживается сообществом. Организациям, использующим GetSimple CMS в рабочей среде, стоит отключить плагин massiveAdmin или перенести сайт на другую платформу.

АЗС «Нефтепродукттехника». SQL-инъекция в системе автоматизации заправок (CVSS 9.3)

CVE-2026-3843 затрагивает систему автоматизации АЗС «Нефтепродукттехника БУК ТС-Г» версии 2.9.1 под управлением Linux. По данным Tenable, удалённый злоумышленник может передать произвольные SQL-команды через параметр sql в запросе к /php/request.php и получить полный контроль над базой данных.

На системах автоматизации АЗС хранятся данные о транзакциях, объёмах топлива и конфигурации оборудования. Успешная атака открывает доступ к этим записям и позволяет их изменять.

CVSS 9.3 отражает высокие последствия по всем трём показателям. Информации об официальном патче в публичных источниках нет.

Microsoft Office и SharePoint. Три уязвимости с выполнением кода

Мартовский Patch Tuesday принёс три уязвимости в продуктах Microsoft с оценками CVSS от 8.4 до 8.8. Все три позволяют выполнить произвольный код.

CVE-2026-26114 (CVSS 8.8) связана с десериализацией ненадёжных данных в SharePoint. Авторизованный злоумышленник передаёт специально сформированный объект, который при обработке на сервере выполняет произвольный код.

CVE-2026-26106 (CVSS 8.8) позволяет пользователю с минимальными привилегиями добиться выполнения кода через некорректную проверку входных данных в SharePoint. Обе уязвимости закрыты мартовским обновлением.

CVE-2026-26113 (CVSS 8.4) затрагивает Microsoft Office. В отличие от обеих SharePoint-записей, эта уязвимость не требует учётной записи. Злоумышленник выполняет произвольный код через разыменование ненадёжного указателя при открытии специально подготовленного документа Office.

GitHub Enterprise Server. Инъекция через Git push options (CVSS 8.7)

CVE-2026-3854 позволяет злоумышленнику с push-доступом к репозиторию выполнить произвольный код на сервере. По данным release notes GitHub Enterprise Server 3.19, значения Git push options не проходили очистку перед включением во внутренние заголовки. Злоумышленник подставляет вредоносные значения, которые переопределяют внутренние поля метаданных.

Уязвимость обнаружена через программу GitHub Bug Bounty. Затронуты все версии GHES до 3.18. Исправления вошли в версии 3.17.1, 3.16.4, 3.15.8, 3.14.13 и 3.13.16. Компрометация GitHub Enterprise Server открывает доступ к исходным кодам, ключам развёртывания и конфигурациям CI/CD всей организации.

Royal Addons for Elementor. Произвольная загрузка файлов (CVSS 8.8)

CVE-2025-13067 затрагивает плагин Royal Addons for Elementor для WordPress с более чем 100 000 активных установок. Уязвимость позволяет загрузить произвольный файл на сервер, что при отсутствии ограничений на выполнение скриптов ведёт к удалённому выполнению кода. Для эксплуатации нужен определённый уровень доступа к сайту. Обновление необходимо применить через панель управления WordPress.

Fortinet FortiAnalyzer и FortiManager. Обход MFA (CVSS 6.8)

CVE-2026-22572 позволяет обойти многофакторную аутентификацию (MFA) в графическом интерфейсе FortiAnalyzer и FortiManager. Злоумышленник, уже знающий пароль администратора, отправляет серию специально сформированных запросов и проходит авторизацию без второго фактора (CWE-288). Затронуты FortiAnalyzer 7.6.0 по 7.6.3, 7.4.0 по 7.4.7, 7.2.2 по 7.2.11 и соответствующие Cloud-версии, а также FortiManager тех же веток.

Оба продукта применяются в корпоративных SOC-командах (центрах мониторинга безопасности). FortiAnalyzer собирает и анализирует логи, FortiManager управляет сетевым оборудованием Fortinet. Бюллетень FG-IR-26-090 опубликован 10 марта 2026 года с оценкой Medium (CVSS 6.8).

PostgreSQL. Вшитые в код учётные данные (CVSS 7.5)

CVE-2025-13957 затрагивает компонент, связанный с PostgreSQL. Уязвимость класса CWE-798 (вшитые в код учётные данные) позволяет злоумышленнику, получившему доступ к исполняемому файлу или конфигурации приложения, подключиться к базе данных PostgreSQL с заранее известными реквизитами и выполнить произвольный код.