Угрозы, уязвимости и анализ эксплойтов.

Экстренный патч вне квартального цикла — Oracle считает угрозу слишком острой. CVE-2026-21992 почти дословно повторяет ошибку, которую эксплуатировали в ноябре 2025. Spring Boot закрыла два обхода аутентификации. В FastGPT нашли способ протащить вредоносный Docker-образ.

MFA не спасает, ключи доступа не спасают, пароль не крадут. 47% атак начинаются с того, что жертва сама выполняет нужное злоумышленнику действие. Push Security разобрала шесть техник. ConsentFix захватывает учётную запись Microsoft одной вставкой URL.

Три ошибки WordPress с оценками 9.3–9.8 и без патча. Одинаковая SSRF появилась сразу в трёх менеджерах проектов за месяц. ИИ-агент OpenClaw набрал 15 записей о безопасности за март. В автопилоте дронов PX4 переполнение буфера по MAVLink без аутентификации.

Шесть ошибок iOS, три из них нулевого дня, одна цепочка эксплойтов, три группировки в четырёх странах. DarkSword захватывает iPhone при одном посещении веб-страницы

Обычный пользователь Ubuntu получает root через взаимодействие двух штатных служб. Qualys TRU нашла ошибку в snap-confine и systemd-tmpfiles. Ни один компонент не сломан по отдельности. Canonical выпустила исправление, окно для атаки составляет 10–30 дней.

В подборке 104 CVE выделяются SQL-инъекция в ИИ-платформе Spring AI, обход проверки доверия в стандарте ONNX (патча нет, CVSS 9.1) и обход аутентификации в медицинском расширении KiviCare (CVSS 9.8). Инфраструктура ИИ и медицинские данные под ударом.

Ни одной вредоносной программы, а 95% устройств стёрты. Handala захватила учётную запись администратора Microsoft Intune и отправила команду сброса. Через неделю производство Stryker не восстановлено. Встроенная функция Intune могла предотвратить массовое стирание.

Пять лет проверяющие FedRAMP не могли подтвердить шифрование в облаке Microsoft для госорганов. Одобрили всё равно. Бывший специалист АНБ с 30-летним стажем назвал это «театром безопасности». ProPublica опубликовала расследование на основе внутренних документов.

В дневной подборке 45 CVE выделяются два RCE в SIEM-платформе Wazuh (CVSS 9.1 каждая), утечка ключей шифрования ScreenConnect (9.0), три KVM-ошибки (9.3) и обход шлюза одобрения Apache Airflow. Инструменты защиты сами превращаются в точки входа.

252 уязвимости за один день, включая два выхода из песочницы Chrome Mojo. Один принёс исследователю рекордные $250 000, другой использовала APT-группировка TaxOff. В Unraid снова нашли цепочку root-доступа в том же файле, что и шесть лет назад.

Поддельные ИИ-приложения обманом заставляют пользователей macOS вставлять вредоносные команды в терминал. Sophos зафиксировала 50 000+ переходов за дни. Вариант InstallFix нацелен на разработчиков, потому что curl | sh для них привычный паттерн установки.

89% корпоративных взломов за 2025 год связаны со слабостями управления доступом. Вывод данных ускорился вчетверо, до 72 минут. Медианный выкуп вырос до $1,5 млн. Отчёт Unit 42 на 750+ инцидентах.

Поддельные страницы загрузки семи VPN-компаний, подписанные DLL и инфостилер Hyrax. Microsoft раскрыла кампанию Storm-2561, которая крадёт корпоративные VPN-пароли через манипуляцию поисковой выдачей.

124 новые уязвимости за сутки, три критических. Veeam Backup с четырьмя уязвимостями (CVSS до 9.8), среди которых активно эксплуатируемая группировками-вымогателями Akira, Fog и Frag.

Экстренный патч Chrome 146 закрывает два 0-day с CVSS 8.8 в графической библиотеке Skia и движке V8. Обе уязвимости уже применялись в атаках. Это второй и третий 0-day в Chrome за 2026 год.