192 новые уязвимости опубликованы 26 марта 2026 года. 86 затрагивают широко используемое ПО.
Главным событием дня стала максимальная оценка CVSS 10.0 для прокси авторизации ORY Oathkeeper. Злоумышленник получает доступ в обход системы авторизации. Прокси-сервер Squid получил CVSS 9.2 за use-after-free (обращение к уже освобождённой области памяти). WordPress-плагин Masteriyo LMS уязвим к повышению привилегий (CVSS 9.8). В Perl-модуле Plack обнаружена ошибка удалённого выполнения кода (RCE, CVSS 9.8), существовавшая 12 лет.
ORY Oathkeeper: обход авторизации, CVSS 10.0
ORY Oathkeeper — прокси-сервер идентификации и контроля доступа (Identity Aware Proxy, IAP). Он проверяет права доступа к API и микросервисам.
CVE-2026-33494 (CVSS 10.0) позволяет обойти авторизацию с помощью обхода пути (path traversal). Злоумышленник формирует URL с последовательностями вроде /public/../admin/secrets. После нормализации URL ведёт к защищённому ресурсу, но Oathkeeper проверяет правила по ненормализованному пути и пропускает запрос.
Читайте также: Apple выпустила iOS 26.4, macOS 26.4 и Safari 26.4 с большим пакетом исправлений безопасности
Атака выполняется удалённо, не требует авторизации и действий пользователя. Уязвимы все версии до 0.40.10.
Одновременно раскрыты ещё две ошибки. CVE-2026-33495 позволяет обойти аутентификацию через заголовок X-Forwarded-Proto: Oathkeeper игнорировал настройку trust_forwarded_headers. CVE-2026-33496 использует путаницу ключей кэша: механизм oauth2_introspection не различал токены, проверенные разными URL. Все три ошибки исправлены в одной версии 0.40.10.
Oathkeeper используют в микросервисных архитектурах и системах с нулевым доверием (zero trust). Для конечных пользователей прямой угрозы нет. Для команд, управляющих API-шлюзами, CVSS 10.0 означает обновление без задержек.
Squid: use-after-free в динамической памяти, CVSS 9.2
CVE-2026-33526 (CVSS 9.2) затрагивает прокси-сервер кэширования Squid. Ошибка типа use-after-free в динамической памяти позволяет вызвать сбой в работе сервера или потенциально выполнить произвольный код. Уязвимы все версии до 7.5.
Читайте также: Dell закрыла четыре уязвимости в Wyse Management Suite
Squid используют корпоративные сети, операторы связи и образовательные учреждения. Исправление доступно в Squid 7.5.
WordPress: повышение привилегий в Masteriyo LMS
CVE-2026-4484 (CVSS 9.8) затрагивает плагин Masteriyo LMS для WordPress во всех версиях до 2.1.6 включительно. Злоумышленник может получить права администратора на сайте.
Три дополнительных ошибки WordPress опубликованы в тот же день. CVE-2026-4758 (CVSS 8.8) позволяет произвольно удалять файлы через WP Job Portal. CVE-2026-3328 (CVSS 7.2) — внедрение объектов PHP через десериализацию в Frontend Admin от DynamiApps. CVE-2026-2511 (CVSS 7.5) — SQL-инъекция в JS Help Desk. Все три плагина требуют обновления.
Три ошибки Oathkeeper в одном обновлении (обход пути, подмена заголовка, путаница кэша) показывают, что каждый компонент по отдельности пропускал неавторизованные запросы. WordPress традиционно даёт несколько плагинов с CVSS выше 7.0 за день. Masteriyo LMS с 9.8 выделяется тем, что злоумышленник получает права администратора на сайте без каких-либо предварительных условий.
Plack (Perl): удалённое выполнение кода, уязвимости 12 лет
CVE-2014-125112 (CVSS 9.8) позволяет выполнить произвольный код через Plack::Middleware::Session::Cookie версий до 0.21. Уязвимость зарегистрирована в 2014 году, но оценку CVSS получила только в марте 2026. Уязвимости 12 лет. Затрагивает Perl-приложения, использующие cookie-сессии через Plack.
Читайте также: Обзор уязвимостей 25 марта: Apple и Cisco исправили десятки ошибок, npm-пакеты с CVSS 9.8
Прочие
CVE-2026-4809 (CVSS 9.3) затрагивает библиотеку plank/laravel-mediable для Laravel до версии 6.4.0. Злоумышленник может загрузить исполняемый файл на сервер. CVE-2026-33942 (CVSS 8.1) затрагивает PHP-библиотеку Saloon. CVE-2026-33152 (CVSS 9.1) обнаружена в Tandoor Recipes (Django-приложение для управления рецептами).
Ещё 76 уязвимостей опубликованы с оценками ниже 7.5.
Оценка CVSS 10.0 для прокси авторизации, максимально возможный балл. ORY Oathkeeper стоит между злоумышленником и защищённым API. Три ошибки в одном обновлении (обход пути, подмена заголовка, путаница кэша) означают, что до версии 0.40.10 каждый из этих компонентов по отдельности пропускал неавторизованные запросы. Plack 12 лет существовал с ошибкой, позволяющей выполнить произвольный код, и оценку получил только сейчас. Squid с CVSS 9.2 затрагивает корпоративные сети и операторов связи.
Приоритеты: обновить ORY Oathkeeper до 0.40.10 и проверить настройку trust_forwarded_headers. Обновить Squid до 7.5. Проверить WordPress-плагины: Masteriyo LMS (до 2.1.6), WP Job Portal, Frontend Admin, JS Help Desk. Обновить plank/laravel-mediable до 6.4.0. Для Perl-проектов проверить версию Plack::Middleware::Session::Cookie.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
