83 новые уязвимости опубликованы 25 марта 2026 года. 57 затрагивают корпоративную и веб-инфраструктуру.
Главными событиями дня стали три координированных обновления. Apple исправила не менее 21 уязвимости в macOS Tahoe 26.4, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, iOS 26.4, iPadOS 26.4, tvOS, watchOS, visionOS и Safari. Cisco опубликовала полугодовой пакет предупреждений для IOS и IOS XE. В числе исправлений, ошибки в CAPWAP, DHCP snooping, IKEv2, HTTP-сервере и TLS-библиотеке. Два npm-пакета (node-tesseract-ocr и pdf-image) получили оценку CVSS 9.8 за возможность инъекции команд операционной системы через непроверенные пути к файлам.
Apple: обновления для всех платформ
Apple 25 марта 2026 года выпустила обновления безопасности для всех активных платформ. В списке macOS Tahoe 26.4, Sequoia 15.7.5, Sonoma 14.8.5, iOS 26.4, iPadOS 26.4, tvOS, watchOS, visionOS и Safari. По данным HKCERT, обновления исправляют не менее 21 уязвимости.
CVE-2026-28891 (CVSS 8.1) позволяет приложению выйти за пределы песочницы через состояние гонки (race condition). Ошибка исправлена в macOS Sequoia 15.7.5, Sonoma 14.8.5 и Tahoe 26.4. CVE-2026-28817 (CVSS 8.1) — ещё одно состояние гонки в macOS, исправленное улучшенным управлением состояниями.
CVE-2026-28875 (CVSS 7.5) — переполнение буфера в iOS 26.4 и iPadOS 26.4, обнаруженное Туаном Д. Хоангом (Tuan D. Hoang) и Ёнда Кимом (Yongdae Kim) из лаборатории KAIST SysSec Lab. Удалённый злоумышленник может вызвать отказ в обслуживании.
CVE-2026-28877 заслуживает отдельного разбора. Исследователи из Nosebeard Labs обнаружили обход защиты украденного устройства (Stolen Device Protection). Злоумышленник с физическим доступом к iPhone мог открыть приложения, защищённые биометрией, используя только пароль, даже при включённой защите.
Apple не использует шкалу CVSS для своих ошибок. Оценки в базах CVE рассчитываются сторонними аналитиками и могут отличаться от внутренней оценки Apple. Ни одна из ошибок 25 марта не отмечена как эксплуатируемая в реальных атаках. Это отличает обновление от экстренного патча февраля 2026 для CVE-2026-20700, которую Apple подтвердила как активно используемую в целевых атаках.
Cisco: полугодовой пакет IOS и IOS XE
Cisco 25 марта опубликовала полугодовой пакет предупреждений безопасности для IOS и IOS XE. В пакет вошли ошибки IOS XE, IOS XR и Secure Firewall ASA/FTD. Три из пяти уязвимостей эксплуатируются удалённо, без авторизации.
CVE-2026-20086 (CVSS 8.6) — отказ в обслуживании в Cisco IOS XE Wireless Controller для контроллеров Catalyst CW9800. Злоумышленник без авторизации отправляет искажённый пакет CAPWAP (Control and Provisioning of Wireless Access Points, протокол управления точками доступа) и перезагружает устройство. Обходных решений нет.
CVE-2026-20084 (CVSS 8.6) — отказ в обслуживании в функции DHCP snooping на коммутаторах Cisco Catalyst серии 9000. Пакеты BOOTP «протекают» между VLAN (утечка BOOTP между сегментами), вызывая высокую загрузку процессора и недоступность устройства.
CVE-2026-20012 (CVSS 8.6) — утечка памяти в IKEv2 на Cisco IOS, IOS XE, ASA и FTD. Злоумышленник без авторизации отправляет специально подготовленные пакеты IKEv2 и приводит к исчерпанию памяти устройства.
CVE-2026-20125 (CVSS 7.7) — отказ в обслуживании HTTP-сервера в Cisco IOS и IOS XE Release 3E. Для эксплуатации нужна учётная запись. Искажённый HTTP-запрос вызывает перезагрузку по срабатыванию сторожевого таймера (watchdog). CVE-2026-20004 (CVSS 7.4) затрагивает TLS-библиотеку IOS XE.
Полугодовой пакет Cisco (март и сентябрь) содержит дополнительные предупреждения: отказ в обслуживании SCP, XSS и CRLF-инъекция в IOx, отказ в обслуживании в сервисном режиме. Сетевым администраторам стоит просмотреть весь пакет целиком.
npm: инъекция команд в node-tesseract-ocr и pdf-image
Два npm-пакета получили оценку CVSS 9.8 за возможность инъекции команд операционной системы.
CVE-2026-26832 (CVSS 9.8) затрагивает node-tesseract-ocr, обёртку Node.js для движка распознавания текста Tesseract OCR. Уязвимы все версии. CVE-2026-26830 (CVSS 9.8) затрагивает pdf-image до версии 2.0.0. Ошибка в параметре pdfFilePath позволяет внедрить произвольную команду.
Читайте также: Задержан предполагаемый создатель форума LeakBase, где продавали сотни миллионов учётных записей
Обе ошибки используют один подход. Node.js-обёртка для утилиты командной строки (Tesseract, ImageMagick/Poppler) передаёт пользовательский ввод в child_process.exec() без экранирования. Имя файла с метасимволами оболочки (обратные кавычки, конструкция $()) превращается в выполнение произвольной команды. Оба пакета используются в системах обработки документов. Любое веб-приложение, принимающее загрузку файлов и передающее их node-tesseract-ocr или pdf-image, потенциально уязвимо.
Apple исправила все активные платформы одним пакетом. Cisco исправила сетевую инфраструктуру полугодовым обновлением. Три ошибки Cisco (CAPWAP, DHCP snooping, IKEv2) не требуют авторизации и эксплуатируются удалённо. Два npm-пакета (node-tesseract-ocr, pdf-image) с оценкой CVSS 9.8 опаснее, чем кажется: они используются в системах обработки документов, и любая загрузка файла с метасимволами в имени превращается в команду ОС.
Прочие
CVE-2025-32991 (CVSS 9.0) — удалённое выполнение кода (RCE) в N2WS Backup & Recovery до версии 4.4.0. N2WS используется для резервного копирования в AWS и Azure. Двухэтапная атака через RESTful API даёт доступ к данным резервных копий и учётным записям восстановления.
CVE-2026-28529 (CVSS 8.5) — повышение привилегий в cryptodev-linux 1.14 и ниже через ошибку в обработке ссылок на страницы памяти. CVE-2026-4815 (CVSS 8.7) — SQL-инъекция в Support Board v3.7.7.
CVE-2026-2995 (CVSS 7.7) затрагивает GitLab EE всех версий от 15.4 до 18.8.7, от 18.9 до 18.9.3 и от 18.10 до 18.10.1.
Обход Stolen Device Protection на iPhone (CVE-2026-28877) стоит выделить для обычных пользователей. Функция создаёт иллюзию, что биометрия защищает приложения даже при краже устройства. Исследователи из Nosebeard Labs показали, что пароля достаточно. Apple исправила ошибку в iOS 26.4, но до обновления злоумышленник с доступом к разблокированному iPhone обходил защиту.
Обновить все устройства Apple до последних версий (macOS Tahoe 26.4, iOS 26.4). Просмотреть полный полугодовой пакет Cisco для IOS/IOS XE и применить исправления для трёх ошибок без авторизации (CAPWAP, DHCP snooping, IKEv2). Разработчикам Node.js стоит проверить зависимости на node-tesseract-ocr и pdf-image. Для исправления рекомендуется использовать метод spawn с массивом аргументов. Это безопаснее, чем exec со склеиванием строк.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
