Обзор уязвимостей за 9 марта 2026: подмена DLL в UltraVNC, две уязвимости в камерах Tiandy и поток PHP-шума

9 марта 2026 года опубликовано 117 новых уязвимостей. Ни одна не получила критический статус. Наивысшую оценку CVSS 8.7 набрала SQL-инъекция в Eventobot, нишевом PHP-инструменте для управления мероприятиями. Для практической защиты интересны две другие записи. В UltraVNC 1.6.4.0 обнаружена подмена DLL с готовым эксплойтом и молчащим разработчиком. В платформе видеонаблюдения Tiandy Easy7 нашли SQL-инъекцию и неограниченную загрузку файлов.

UltraVNC 1.6.4.0: подмена DLL, готовый эксплойт, патча нет

CVE-2026-3787 затрагивает UltraVNC 1.6.4.0 на Windows. Компонент Windows Service загружает библиотеку cryptbase.dll по неконтролируемому пути поиска (CWE-427). Злоумышленник с локальным доступом может подложить вредоносную DLL в каталог, входящий в путь поиска сервиса, и выполнить код в контексте процесса UltraVNC.

UltraVNC разрабатывается с 2002 года. Только ветка 1.5.x набрала более двух миллионов загрузок (данные Wikipedia). Инструментом пользуются IT-поддержка, MSP-провайдеры (компании, оказывающие управляемые ИТ-услуги) и малый бизнес, которому нужен бесплатный удалённый доступ на Windows от 7 до Server 2025. Если сервис UltraVNC работает с повышенными привилегиями, подмена DLL превращается в прямой путь к повышению привилегий на машине.

Оценка по CVSS 4.0 составляет 7.3 (HIGH). Сложность атаки высокая, нужен локальный доступ. Но PoC-эксплойт (проверка концепции, рабочий код для эксплуатации уязвимости) уже существует. Исследователь haehanse отправил данные об уязвимости в VulDB 8 марта 2026 года. VulDB отмечает, что:

С разработчиком связались заблаговременно, но он никак не отреагировал.

— запись VulDB от 8 марта 2026 года.

Патча на 9 марта не существует. RedPacket Security рекомендует ограничить права записи в каталоги UltraVNC и его DLL, включить AppLocker или WDAC (Windows Defender Application Control) для блокировки неподписанных библиотек, а также активировать SafeDllSearchMode. Организациям, запускающим UltraVNC как службу Windows, стоит проверить права доступа к каталогу установки.

Tiandy Easy7: SQL-инъекция и загрузка произвольных файлов без ответа от производителя

Две уязвимости в платформе видеонаблюдения Tiandy Easy7 опубликованы в одном цикле. Через CVE-2026-3818 можно провести SQL-инъекцию в /Easy7/apps/WebService/GetDBData.jsp через параметр strTBName (CVSS 6.9, MEDIUM). CVE-2026-3797 позволяет загружать произвольные файлы через CLS_REST_File.java и параметр fileName (CVSS 5.3, MEDIUM).

Обе уязвимости эксплуатируются удалённо, для обеих опубликован PoC-код. Производитель не ответил ни на одно уведомление.

Tiandy со штаб-квартирой в Тяньцзине не относится к мелким производителям. Компания занимает седьмое место среди мировых производителей систем видеонаблюдения, работает в более чем 80 странах и насчитывает свыше 3 000 сотрудников. Отраслевая исследовательская группа IPVM задокументировала продажу оборудования Tiandy Корпусу стражей исламской революции Ирана.

Геополитическое внимание к компании тянется годами. Фонд защиты демократий (Foundation for Defense of Democracies) в декабре 2022 года опубликовал расследование о роли Tiandy в инфраструктуре слежки за уйгурами в Синьцзяне. В феврале 2025 года Министерство внутренней безопасности США предупредило, что китайские интернет-камеры на объектах критической инфраструктуры «могут быть использованы для шпионажа». По данным DHS, китайские группировки, связанные с государством, «целенаправленно использовали уязвимости» в подобных устройствах как минимум с 2020 года.

Привычка Tiandy игнорировать сообщения об уязвимостях насчитывает не один год. В августе 2017 года команда SecuriTeam компании Beyond Security попыталась сообщить об утечке данных в IP-камерах Tiandy (CVE-2017-15236). Многочисленные попытки связаться остались без ответа. Восемь лет спустя ничего не изменилось.

Eventobot: наивысший CVSS, минимальный практический риск

CVE-2025-40639 получила максимальную оценку дня, 8.7 по CVSS (HIGH). SQL-инъекция по адресу /assets/php/calculate_discount.php позволяет авторизованному злоумышленнику читать, создавать, изменять и удалять записи базы данных через параметр promo_send. CVE присвоен INCIBE (национальный CERT Испании) 9 марта 2026 года.

Eventobot относится к нишевым PHP-инструментам для управления мероприятиями, данных о числе установок нет. Высокий CVSS отражает техническую тяжесть (доступ по сети, низкая сложность, полный доступ к базе), но практический риск для большинства читателей минимален. Если Eventobot развёрнут на вашем сервере, закройте публичный доступ к уязвимому адресу до выхода обновления.

PHP-поток: восемь SQL-инъекций в учебных проектах

Восемь из десяти CVE с наивысшими оценками имеют одинаковый профиль. SQL-инъекции в open-source PHP-проектах, созданных для обучения. Среди них Simple Responsive Tourism Website от SourceCodester, Online Art Gallery Shop от Projectworlds, а также Student Web Portal, University Management System и Simple Flight Ticket Booking System от code-projects. Все имеют CVSS 6.9, эксплуатируются удалённо, для всех опубликован PoC-код.

Это не промышленное ПО. Учебные проекты и примеры кода. Их CVE раздувают ежедневный счётчик, не отражая реальных корпоративных рисков.

9 марта выдалось тихим днём для публикации уязвимостей. Ни критических записей, ни эксплуатируемых 0-day, ни массовых продуктов. Из 117 CVE стоит отслеживать две позиции. UltraVNC, потому что инструмент широко распространён, а патча нет. И Tiandy, потому что производитель не закрывает уязвимости, а его камеры стоят на чувствительных объектах.