Обзор уязвимостей за 6 марта 2026: шесть уязвимостей в RustDesk и Nginx UI с CVSS 9.8

За сутки опубликованы 226 новых CVE. Главное событие — массовый аудит RustDesk: шесть уязвимостей с оценкой 9.1–9.3 затрагивают клиент удалённого доступа на всех платформах (Windows, macOS, Linux, iOS, Android). Параллельно в веб-интерфейсе Nginx UI нашли уязвимость CVSS 9.8, позволяющую скачать полную резервную копию сервера без авторизации. Microsoft раскрыла RCE в облачном сервисе Devices Pricing Program, тоже с оценкой 9.8.

RustDesk Client ≤1.4.5: шесть CVE на всех платформах (CVSS 9.1–9.3)

RustDesk, инструмент удалённого доступа с открытым исходным кодом, более 109 000 звёзд на GitHub. 5 марта в NVD появились шесть CVE, затрагивающих клиент версий до 1.4.5 включительно.

CVE-2026-30793 (CVSS 9.3) — CSRF-уязвимость (подделка межсайтовых запросов) в обработчике URI-схемы rustdesk://password/. Злоумышленник через ссылку устанавливает постоянный пароль для RustDesk без подтверждения пользователя. Затронутые модули: Flutter URI scheme handler и FFI bridge. Обходное решение: отключить регистрацию URI-схемы rustdesk:// на уровне операционной системы.

Та же URI-схема открывает ещё один способ атаки. CVE-2026-30797 (CVSS 9.3) — отсутствие авторизации: через ссылку rustdesk://config/ злоумышленник подменяет конфигурацию клиента и перенаправляет его на подконтрольный сервер. CISA оценила техническое воздействие как «полное» (Technical Impact: total).

CVE-2026-30789 (CVSS 9.3) — обход аутентификации через перехват и воспроизведение хэша пароля. Проблема в функции hash_password() модуля src/client.rs: хэш вычисляется с недостаточной криптографической сложностью, что позволяет повторно использовать перехваченные сессии.

Брутфорс паролей RustDesk ничем не ограничен — CVE-2026-30790 (CVSS 9.3) фиксирует отсутствие ограничений на количество попыток аутентификации.

CVE-2026-30794 (CVSS 9.1) — некорректная проверка TLS-сертификата. Клиент в определённых условиях вызывает danger_accept_invalid_certs(true), открывая возможность для атаки «человек посередине» (AiTM — Adversary-in-the-Middle).

CVE-2026-30792 (CVSS 9.1) — манипуляция API-сообщениями через перехват синхронизации настроек. Злоумышленник в позиции MitM модифицирует стратегии и конфигурации клиента на лету.

Все шесть уязвимостей затрагивают RustDesk Client на Windows, macOS, Linux, iOS и Android. Публичных эксплойтов пока нет. RustDesk на момент публикации не выпустила обновлённую версию клиента.

В России RustDesk используют как замену TeamViewer и AnyDesk. Уязвимости в клиенте удалённого доступа затрагивают администраторов напрямую. CISA в рамках программы ADP Vulnrichment присвоила четырём из шести CVE пометку «Technical Impact: total», что означает полную компрометацию конфиденциальности, целостности и доступности.

Nginx UI до 2.3.3: резервная копия сервера без авторизации (CVSS 9.8)

CVE-2026-27944 затрагивает Nginx UI, веб-интерфейс для управления Nginx. Конечная точка /api/backup доступна без аутентификации и возвращает ключ шифрования в HTTP-заголовке X-Backup-Security. Злоумышленник скачивает полную резервную копию системы (учётные данные, токены сессий, закрытые ключи SSL, конфигурации Nginx) и расшифровывает её этим же ключом.

Уязвимость классифицирована как CWE-306 (отсутствие аутентификации) и CWE-311 (отсутствие шифрования). Исправлена в версии 2.3.3. EPSS (Exploit Prediction Scoring System — вероятность эксплуатации в ближайшие 30 дней) — 0,05%.

Microsoft Devices Pricing Program: RCE в облачном сервисе (CVSS 9.8)

CVE-2026-21536 — удалённое выполнение кода в Microsoft Devices Pricing Program, облачном сервисе для управления ценообразованием устройств. MSRC (Microsoft Security Response Center) подтвердил уязвимость, но не раскрыл технических деталей. По оценке WindowsForum, проблема связана с некорректной валидацией входных данных в конечных точках API сервиса. Патч на момент публикации не выпущен.

WordPress и Ubuntu

CVE-2026-3459 (CVSS 8.1) — плагин Drag and Drop Multiple File Upload для Contact Form 7. Произвольная загрузка файлов, ведущая к удалённому выполнению кода. Уязвимы все установки с этим плагином.

CVE-2025-13350 (CVSS 7.1) — повышение привилегий в Ubuntu Linux 6.8 GA. Ядро сохраняет устаревший сборщик мусора AF_UNIX, несовместимый с новым механизмом из восходящего коммита. Проблема специфична для Ubuntu.

Из 226 CVE за сутки восемь получили оценку 9.0 и выше. Шесть из них приходятся на один продукт — RustDesk Client до 1.4.5. Администраторам Nginx UI нужно обновиться до 2.3.3. Пользователям RustDesk до выхода патча нужно отключить URI-схему rustdesk:// на уровне ОС и ограничить сетевой доступ к клиенту.