За сутки опубликована 101 новая уязвимость. Из них 14 затрагивают продукты, распространённые в российской инфраструктуре: Apache Ranger, Django, D-Link и семь плагинов WordPress. Одна уязвимость получила критическую оценку 9.8 по шкале CVSS и позволяет выполнить произвольный код удалённо, без аутентификации.
Apache Ranger: удалённое выполнение кода через Nashorn (CVSS 9.8)
CVE-2025-59059 затрагивает Apache Ranger версий до 2.7.0 включительно. Уязвимость обнаружена в компоненте NashornScriptEngineCreator, который отвечает за выполнение JavaScript-скриптов внутри JVM. Nashorn — встроенный в Java движок для исполнения JavaScript-кода, и в Ranger он используется для фильтрации записей и обработки политик доступа.
Проблема в том, что пользовательский ввод передаётся в Nashorn без достаточной изоляции. Злоумышленник может внедрить код (CWE-94), который выйдет за пределы скриптового окружения и выполнит произвольные команды на хосте. Атака не требует ни аутентификации, ни действий со стороны пользователя, проводится по сети и имеет низкую сложность. Все три показателя последствий (конфиденциальность, целостность, доступность) оценены как «высокие».
Читайте также: Поддельный сайт FileZilla распространяет зараженную версию FTP-клиента, достаточно одного файла
Apache выпустила исправление в версии Ranger 2.8.0. Коммит RANGER-4076, попавший в репозиторий ещё в декабре 2025 года, полностью удаляет класс NashornScriptEngineCreator и заменяет его альтернативной реализацией. Публичного эксплойта пока нет, вероятность использования в ближайшие 30 дней (EPSS) составляет 0,09%.
Для организаций, использующих Apache Ranger в связке с Hadoop, Hive или другими компонентами экосистемы больших данных: обновление до 2.8.0 закрывает и вторую уязвимость того же дня, CVE-2025-59060 (CVSS 5.3, обход проверки имени хоста в NiFiRegistryClient).
D-Link DIR-868L: внедрение команд ОС через SSDP (CVSS 8.9)
CVE-2026-3485 описывает внедрение команд операционной системы в роутере D-Link DIR-868L (прошивка 110b03). Уязвимость находится в функции sub_1BF84 компонента SSDP Service. Манипулируя аргументом ST в SSDP-запросе, злоумышленник может удалённо выполнить произвольную команду ОС без аутентификации.
Эксплойт уже опубликован. D-Link прекратила поддержку этой модели, поэтому патча не будет. Владельцам DIR-868L рекомендуется заменить устройство или отключить SSDP-сервис, если это возможно в настройках прошивки.
Django: отказ в обслуживании через URLField (CVSS 7.5)
CVE-2026-25673 затрагивает Django версий 6.0 до 6.0.3, 5.2 до 5.2.12 и 4.2 до 4.2.29. Проблема в методе URLField.to_python(), который вызывает urllib.parse.urlsplit(). На Windows эта функция выполняет NFKC-нормализацию Unicode, и для определённых символов нормализация работает непропорционально медленно.
Злоумышленник может отправить длинный URL с такими символами и вызвать отказ в обслуживании (CWE-400). Атака не требует аутентификации и проводится по сети. Утечки данных и модификации не происходит, страдает только доступность.
Уязвимость обнаружил исследователь Сокчан Юн (Seokchan Yoon). Django выпустила исправления: 6.0.3, 5.2.12 и 4.2.29. Старые ветки (5.0.x, 4.1.x, 3.2.x) не проверялись и тоже могут быть уязвимы.
WordPress: семь плагинов с XSS, SQL-инъекциями и SSRF
Основной поток уязвимостей за этот день, плагины WordPress. Семь уязвимостей с оценками от 5.4 до 7.2:
Stored XSS (хранимый межсайтовый скриптинг)
- CVE-2026-1945 — плагин WPBookit (все версии до 1.0.8). Злоумышленник без авторизации может внедрить вредоносный скрипт через поля
wpb_user_nameиwpb_user_email. Скрипт сработает у каждого посетителя заражённой страницы. CVSS 7.2. - CVE-2026-2568 — плагин WP Zendesk for Contact Form 7, WPForms, Elementor, Formidable и Ninja Forms (до актуальной версии). Stored XSS, CVSS 7.2.
- CVE-2026-2732 — плагин Enable Media Replace. Несанкционированное изменение данных из-за неверной проверки прав. CVSS 5.4.
SQL-инъекции
- CVE-2026-2363 — плагин WP-Members Membership Plugin (до 3.5.5.1). SQL-инъекция через атрибут
order_byв шорткодеwpmem_user_membership_posts. Для эксплуатации нужны права уровня участник и выше. Позволяет извлечь данные из базы. CVSS 6.5. - CVE-2026-1651 — плагин Email Subscribers от Icegram Express (до 5.9.16). SQL-инъекция через параметр
workflow_ids. CVSS 6.5. SSRF (подделка запросов на стороне сервера). - CVE-2026-1273 — плагин PostX (Post Grid Gutenberg). SSRF с возможностью обращения к внутренним ресурсам сервера. CVSS 7.2.
Ни для одной из перечисленных уязвимостей WordPress-плагинов публичных эксплойтов на момент публикации нет. Для WPBookit и WP Zendesk приоритет обновления выше: обе XSS эксплуатируются без аутентификации.
Из 101 опубликованной за сутки уязвимости публичный эксплойт пока существует только для D-Link DIR-868L — единственного продукта в подборке, для которого патча не будет.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
