97 новых уязвимостей опубликованы 23 марта 2026 года. 61 уязвимость относится к корпоративной и веб-инфраструктуре. Три получили максимальную оценку CVSS 10.0.
Главными событиями дня стали две координированные публикации. Видеоплатформа WWBN AVideo собрала 13+ предупреждений за 48 часов, включая цепочку удалённого выполнения кода без входа в систему. JavaScript-библиотека jsrsasign получила пять ошибок, которые позволяют восстановить закрытый ключ и подделать цифровую подпись.
AVideo: 13+ ошибок, одна платформа, ноль аутентификации
WWBN AVideo — видеохостинг с открытым исходным кодом. Его используют независимые медиа, образовательные учреждения и компании как альтернативу YouTube с собственным сервером. 23 марта одновременно вышли восемь предупреждений для версий до 26.0 включительно. Среди ошибок встречаются все основные типы атак. В списке RCE без аутентификации, SQL-инъекции, CSRF с переходом в RCE, обход SSRF, внедрение команд ОС и фиксация сессии (перехват чужого сеанса).
Самая опасная ошибка — CVE-2026-33478 (CVSS 10.0). Это цепочка из четырёх шагов. Адрес clones.json.php отдаёт секретные ключи клонирования без аутентификации. С их помощью злоумышленник получает полный дамп базы через cloneServer.json.php. Дамп содержит пароли администраторов, захешированные в MD5.
Взлом MD5 занимает секунды на обычном оборудовании. С правами администратора злоумышленник внедряет команду операционной системы через rsync в cloneClient.json.php. Атака не требует ни авторизации, ни действий со стороны пользователя.
CVE-2026-33352 (CVSS 9.8) — отдельная SQL-инъекция без аутентификации через параметр doNotShowCats в objects/category.php. Обход реализован через обратную косую черту в методе getAllCategories(). CVE-2026-33502 (CVSS 9.3) — SSRF (Server-Side Request Forgery, подделка запроса на стороне сервера). CVE-2026-33351 (CVSS 9.1) — CSRF (Cross-Site Request Forgery, межсайтовая подделка запроса), ведущая к повышению привилегий.
Ещё два пути к выполнению кода. CVE-2026-33479 (CVSS 8.8) эксплуатирует адрес saveSort.json.php расширения Gallery. Непроверенный ввод попадает прямо в PHP-функцию eval(), а у адреса нет защиты от CSRF и стоит SameSite=None для cookie. Администратор, зашедший на страницу злоумышленника, запускает произвольный код на сервере. CVE-2026-33507 (CVSS 8.8) — второй путь к RCE через другой адрес.
CVE-2026-33482 (CVSS 8.1) — внедрение команд через функцию sanitize_filename(). CVE-2026-33485 (CVSS 7.5) — ещё одна SQL-инъекция.
Полный аудит платформы выявил не менее пяти дополнительных ошибок за 22–23 марта. CVE-2026-33480 (CVSS 8.6) — обход SSRF через IPv4-mapped IPv6 адреса в модуле LiveLinks. CVE-2026-33492 — фиксация сессии через GET-параметр PHPSESSID. CVE-2026-33319 — внедрение команд ОС при загрузке видео из LinkedIn. CVE-2026-33295 — сохранённый XSS в кнопках загрузки CDN. CVE-2026-33294 — SSRF при получении миниатюр BulkEmbed.
MD5 для хеширования паролей в 2026 году — находка сама по себе. NIST признал MD5 непригодным для защиты ещё в 2004 году. Пароль, захешированный в MD5, взламывается за секунды на обычном оборудовании. Исправление для CVE-2026-33478 содержится в коммите c85d076, но формальной версии с патчем пока нет.
Любой сервер AVideo версии 26.0 и ниже, доступный из интернета, следует считать скомпрометированным, если коммит c85d076 не применён. Цепочка CVE-2026-33478 не требует ни авторизации, ни действий со стороны пользователя.
jsrsasign: пять ошибок, восстановление закрытого ключа, подделка подписей
JavaScript-библиотека jsrsasign получила пять предупреждений для версий до 11.1.1. Три оценены как критические, две как высокой тяжести. Вместе они ломают подпись DSA, проверку DSA, операции RSA и проверку сертификатов X.509.
CVE-2026-4601 (CVSS 9.4) — пропущенный шаг в функции KJUR.crypto.DSA.signWithMessageHash. Библиотека не обрабатывает случай, когда компоненты подписи DSA (r или s) становятся нулевыми. По стандарту это должно вызвать повторную генерацию. Вместо этого jsrsasign выдаёт некорректную подпись, из которой злоумышленник математически вычисляет закрытый ключ (x). Злоумышленник получает сам ключ подписи, а не возможность подделать одну подпись.
CVE-2026-4599 (CVSS 9.3) — второй путь к восстановлению закрытого ключа. Функции getRandomBigIntegerZeroToMax и getRandomBigIntegerMinToMax в файле src/crypto-1.1.js содержат ошибки в проверках compareTo. Они принимают значения за пределами допустимого диапазона, что искажает распределение случайных чисел (nonce). Атаки на смещённые nonce DSA хорошо описаны в криптографической литературе (Howgrave-Graham и Smart, 2001, Breitner и Heninger, 2019) и требуют лишь нескольких десятков наблюдаемых подписей.
CVE-2026-4600 (CVSS 9.1) ломает проверку подписей. Функция DSA.setPublic недостаточно проверяет параметры домена DSA. Злоумышленник подставляет значения g=1, y=1, r=1, при которых уравнение проверки даёт истину для любого хеша сообщения. Это позволяет подделывать сертификаты X.509.
CVE-2026-4602 (CVSS 8.7) нарушает модульное возведение в степень при отрицательных показателях в ext/jsbn2.js. CVE-2026-4603 (CVSS 5.1) — деление на ноль в операциях RSA, когда модуль из JSON Web Key (JWK) декодируется в ноль.
Восстановление закрытого ключа (CVE-2026-4601), смещённые nonce (CVE-2026-4599) и подделка подписей (CVE-2026-4600) делают обновление недостаточным. Приложениям, которые использовали jsrsasign для операций DSA до версии 11.1.1, нужно перевыпустить все ключи DSA и отозвать сертификаты, подписанные уязвимой библиотекой.
Harbor: пароль по умолчанию, CVSS 9.4
CVE-2026-4404 (CVSS 9.4) затрагивает GoHarbor Harbor версий до 2.15.0. Harbor — реестр контейнеров с открытым исходным кодом для Kubernetes. Компании используют его для хранения, подписания и сканирования образов контейнеров.
Документация Harbor прямо указывает, что логин и пароль по умолчанию для администратора — admin и Harbor12345. CISA оценила ошибку как «автоматизируемую». Любой сервер Harbor 2.15.0 и ниже с доступом из интернета и паролем по умолчанию полностью открыт.
GV Edge Recording Manager: повышение до SYSTEM, CVSS 10.0
CVE-2026-4606 (CVSS 10.0) затрагивает GV Edge Recording Manager (ERM) v2.3.1, систему записи и управления видеонаблюдением для Windows. Компоненты приложения работают с привилегиями SYSTEM. Любой пользователь с локальным доступом получает полный контроль над операционной системой. Информации о патче нет.
Прочие
CVE-2026-3587 (CVSS 10.0) — скрытая функция в интерфейсе командной строки неназванного устройства на Linux. Злоумышленник без аутентификации получает полный контроль. Описание в базе CVE обрезано, название производителя и продукта отсутствуют.
CVE-2025-41008 и CVE-2025-41007 (обе CVSS 9.3) — SQL-инъекции в испаноязычных приложениях Sinturno и Cuantis, позволяющие извлекать, менять и удалять записи без аутентификации. Идентификаторы зарезервированы в 2025 году, опубликованы в марте 2026. CVE-2026-32968 (CVSS 9.8) — внедрение команд ОС в устройстве DUE без аутентификации.
Из расширений WordPress отметились ReviewX для WooCommerce (CVE-2025-10679, CVSS 7.3, удалённое выполнение кода) и WP Maps (CVE-2026-2580, CVSS 7.5, SQL-инъекция по времени через параметр orderby).
AVideo хранит пароли в MD5 в 2026 году. NIST признал MD5 непригодным 22 года назад. 13 ошибок за двое суток, включая цепочку до выполнения команд без входа. Это не отдельные находки, а результат полного аудита платформы, которую никто не проверял годами. Если AVideo работает на вашем сервере с доступом из интернета, считайте его уже взломанным.
Администраторам AVideo необходимо применить коммит c85d076 или отключить сервер от сети. Разработчикам, использующим jsrsasign, нужно обновиться до 11.1.1, перевыпустить ключи DSA и отозвать сертификаты, подписанные уязвимой версией. Владельцам Harbor стоит проверить, не остался ли пароль admin / Harbor12345. Сервер GV Edge Recording Manager 2.3.1 открыт для повышения привилегий до SYSTEM, патч не опубликован.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
