20 марта 2026 года опубликовано 138 новых уязвимостей. 67 из них затрагивают продукты, которые используются в корпоративной среде. Oracle выпустила внеплановый патч для Identity Manager (CVSS 9.8). Spring устранила два обхода аутентификации в Actuator (встроенный модуль мониторинга Java-приложений). В платформе ИИ-агентов FastGPT обнаружен способ загрузить вредоносный Docker-образ в рабочий реестр.
Oracle Identity Manager: экстренное обновление вне цикла (CVSS 9.8)
Oracle 20 марта выпустила Security Alert вне квартального цикла Critical Patch Update. CVE-2026-21992 (CVSS 9.8) затрагивает Oracle Identity Manager и Oracle Web Services Manager. Злоумышленник без аутентификации может выполнить произвольный код по HTTP и захватить систему целиком.
Ошибка в компоненте REST WebServices (Identity Manager) и Web Services Security (Web Services Manager). Затронуты версии 12.2.1.4.0 и 14.1.2.1.0. Обходных решений нет. Патч доступен через My Oracle Support (требуется вход).
Читайте также: Обзор уязвимостей 19 марта 2026: три ошибки WordPress без патча, SSRF и инъекции в ИИ-агенте
Предупреждение Oracle почти дословно повторяет описание CVE-2025-61757 (CVSS 9.8). Та ошибка затрагивала тот же компонент REST WebServices тех же версий. Её активно эксплуатировали в реальных атаках, и CISA добавила запись в каталог KEV (Known Exploited Vulnerabilities) в ноябре 2025 года. Совпадение описаний указывает на вероятный обход предыдущего патча.
Внеплановые Security Alert от Oracle редки. Компания прибегает к ним, когда считает угрозу слишком острой для ожидания квартального обновления (следующее запланировано на апрель 2026).
Предупреждение
Oracle Identity Manager управляет учётными записями, ролями и правами доступа всего предприятия. Захват этой системы даёт злоумышленнику контроль над пользовательской инфраструктурой. Тем, кто установил патч для CVE-2025-61757 в ноябре 2025, нужно проверить повторную уязвимость через CVE-2026-21992.
Spring Boot Actuator: два обхода аутентификации за один день
Spring 19 марта выпустила Spring Boot 3.5.12 и 4.0.4 с исправлениями двух обходов аутентификации в модуле Actuator. Уязвимость CVE-2026-22733 (CVSS 8.2) позволяет злоумышленнику без аутентификации получить доступ к данным Actuator через пути CloudFoundry. Вторая, CVE-2026-22731, затрагивает пути Health Group.
Затронуты Spring Security с 2.7 по 4.0 включительно. На практике это почти все Java-приложения на Spring Boot в промышленной эксплуатации.
Читайте также: Сооснователь Super Micro арестован за контрабанду ИИ-серверов Nvidia в Китай на $2,5 млрд
Trend Micro 18 марта опубликовала отчёт о боевых атаках через неправильно настроенные служебные адреса Actuator. Открытый адрес /env выдавал секреты, с помощью которых злоумышленники попадали в Microsoft 365 в обход MFA. Новые обходы аутентификации открывают те же адреса для доступа без учётных данных.
Trend Micro описала реальные атаки через открытые служебные адреса Actuator 18 марта. Spring закрыла два обхода аутентификации к тем же адресам 19 марта. Совпадение по времени случайное, но для администраторов Java-приложений результат один и тот же: обновить Spring Boot до 3.5.12 или 4.0.4 немедленно и проверить, не доступны ли служебные адреса Actuator извне.
ИИ-инфраструктура: отравление реестра FastGPT и внедрение команд через SQLBot
FastGPT версий ≤4.14.8.3 содержит ошибку в рабочем процессе GitHub Actions (CVE-2026-33075, CVSS 9.4). Файл fastgpt-preview-image.yml использует событие pull_request_target, которое имеет доступ к секретам хранилища, но загружает код из запроса на слияние (pull request) стороннего участника.
Любой внешний разработчик может отправить вредоносный Dockerfile. Рабочий процесс соберёт образ и загрузит его в рабочий реестр контейнеров FastGPT. Злоумышленник похитит ключи API и маркеры доступа. Все, кто загружает Docker-образы FastGPT, получат заражённую сборку.
Патча на момент публикации нет.
Ошибка pull_request_target в GitHub Actions известна с 2020 года. Разработчики используют это событие для запуска тестов на ответвлениях с доступом к секретам. Но шаг checkout загружает код из недоверенного ответвления, и это создаёт возможность для атаки.
SQLBot уязвима к внедрению SQL через естественный язык. SQLBot — система запросов на основе большой языковой модели и RAG (генерация ответов с привлечением внешних данных). Ошибка (CVE-2026-32950, CVSS 8.6). Доказательство концепции (PoC), опубликованное в январе 2026 года, демонстрирует выполнение произвольных команд через PostgreSQL COPY FROM PROGRAM.
Злоумышленник формулирует запрос на естественном языке. Языковая модель преобразует его в SQL-код, включающий DROP TABLE, CREATE TABLE и COPY FROM PROGRAM 'id'. Итог — произвольные команды на сервере базы данных.
Третья ошибка в цепочке «ввод → LLM → SQL» за две недели. 17 марта Spring AI получила два исправления. CVE-2026-22730 (SQL-инъекция в MariaDBFilterExpressionConverter) и CVE-2026-22729 (внедрение JSONPath в AbstractFilterExpressionConverter). Все три ошибки эксплуатируют одну и ту же схему. Пользовательский ввод проходит через языковую модель, та генерирует SQL, а между генерацией и исполнением нет проверки.
Внедрение запросов через языковые модели превращается в новый класс SQL-инъекций. Разработчики ИИ-приложений доверяют результатам генерации так же, как десять лет назад веб-разработчики доверяли пользовательскому вводу. Параметризованные запросы нужно применять на уровне драйвера базы данных, а не на выходе языковой модели.
Free5GC: три ошибки в открытом ядре 5G-сети
Free5GC получила три уязвимости с оценкой CVSS 8.7 каждая. Free5GC — реализация ядра сети 5G с открытым исходным кодом под эгидой Linux Foundation. CVE-2026-33192, CVE-2026-33191 и CVE-2026-33064 затрагивают ядро сети, а не радиоинтерфейс. Подробные описания на момент публикации не раскрыты.
Читайте также: Жена сняла на камеру сид-фразу мужа и вывела 2 323 биткоина. Суд разрешил иск на $172 млн
Free5GC используют операторы связи, исследователи и компании, разворачивающие частные 5G-сети на заводах, логистических площадках и военных объектах. Ошибки в ядре сети могут затронуть аутентификацию абонентов, управление сессиями и маршрутизацию данных для всех устройств в сети.
Сводная таблица
| CVE | Продукт | Тип | CVSS | Аут. | Патч |
|---|---|---|---|---|---|
| CVE-2026-21992 | Oracle Identity Manager / Web Services Manager 12.2.1.4.0, 14.1.2.1.0 | RCE без аутентификации (REST WebServices) | 9.8 | Нет | Security Alert |
| CVE-2026-4038 | WordPress Aimogen Pro | Вызов произвольной функции → повышение привилегий | 9.8 | — | — |
| CVE-2026-33075 | FastGPT ≤4.14.8.3 | Отравление цепочки поставок (GitHub Actions) | 9.4 | Нет | Нет |
| CVE-2026-33134 | WeGIA ≤3.6.5 | SQL-инъекция | 9.3 | — | — |
| CVE-2026-32985 | Xerte Online Toolkits ≤3.14 | Загрузка файлов → RCE | 9.3 | — | — |
| CVE-2026-32950 | SQLBot (LLM + RAG) | Внедрение через LLM → SQL → RCE | 8.6 | — | — |
| CVE-2026-33192 | Free5GC (ядро 5G) | — | 8.7 | — | — |
| CVE-2026-33191 | Free5GC (ядро 5G) | — | 8.7 | — | — |
| CVE-2026-33064 | Free5GC (ядро 5G) | — | 8.7 | — | — |
| CVE-2026-32756 | Admidio ≤5.0.6 | RCE через PHP | 8.8 | — | — |
| CVE-2026-22733 | Spring Security 2.7–4.0 (Actuator CloudFoundry) | Обход аутентификации | 8.2 | Нет | 3.5.12 / 4.0.4 |
| CVE-2026-32763 | Kysely (TypeScript SQL builder) | SQL-инъекция | 8.2 | — | 0.28.11 |
| CVE-2026-32888 | Open Source Point of Sale (PHP) | SQL-инъекция | 8.8 | — | — |
Администраторам Oracle Identity Manager следует установить патч немедленно. Сходство с активно эксплуатируемой CVE-2025-61757 делает эту ошибку самой приоритетной в дневной подборке. Spring Boot необходимо обновить до 3.5.12 или 4.0.4. Рабочие процессы GitHub Actions в проектах с ИИ стоит проверить на pull_request_target с загрузкой кода из ответвлений. Слой генерации SQL из языковых моделей необходимо рассматривать как недоверенный ввод и применять параметризованные запросы на уровне драйвера базы.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
