88 новых уязвимостей опубликованы 31 марта 2026 года. 42 затрагивают широко используемое ПО. Пять дней назад из 192 опубликованных значимых оказалось 86.
Главным событием дня стала CVE-2026-34156 (CVSS 10.0) в NocoBase. Злоумышленник выходит за пределы изолированной среды (песочницы) Node.js и выполняет произвольные команды с правами суперпользователя (root), используя всего три строки кода. Японская CMS baserCMS получила пять ошибок за один день, три из них позволяют внедрять команды ОС (оценка CVSS 9.0+). WordPress-плагин Everest Forms Pro уязвим к удалённому выполнению кода (RCE, CVSS 9.8).
NocoBase: выход за пределы изолированной среды, CVSS 10.0
NocoBase использует модуль Node.js vm для выполнения пользовательского кода в Workflow JavaScript Script Node. Песочница передаёт в контекст исполнения объект console из основной среды.
Злоумышленник с аутентификацией использует цепочку прототипов через console._stdout.constructor.constructor и добирается до конструктора Function основной среды. Оттуда получает объект process, загружает child_process и выполняет произвольные команды. Белый список модулей (WORKFLOW_SCRIPT_MODULES) полностью обходится.
В стандартной Docker-установке NocoBase процесс работает с правами суперпользователя (root, uid=0).
Уязвимость относится к классу CWE-913 (недостаточный контроль динамически управляемого кода). Обнаружил исследователь 2013xile. Исправление вошло в NocoBase v2.0.28 (PR #8967, принят 27 марта 2026 года).
Ошибка относится к тому же классу, что и случаи выхода из песочницы n8n (CVE-2026-33660, CVE-2026-33696). Документация Node.js прямо предупреждает, что модуль vm не предназначен для создания защищённых песочниц. Любой объект из основной среды, переданный в контекст, становится потенциальным способом побега.
baserCMS: пять уязвимостей, три с инъекцией команд
В японской CMS-платформе baserCMS обнаружены пять уязвимостей во всех версиях до 5.2.3. Все исправлены в одном обновлении.
CVE-2026-30880 (CVSS 9.2), CVE-2026-30877 (CVSS 9.1) и CVE-2026-21861 (CVSS 9.1) позволяют внедрять команды операционной системы. CVE-2026-30940 (CVSS 7.2) затрагивает API управления темами и позволяет выполнить произвольный код. CVE-2025-32957 (CVSS 8.7) затрагивает функцию восстановления приложения.
Читайте также: Trivy оказался скомпрометирован в цепочке поставок: вредоносные версии попали в релизы, GitHub Actions и Docker-образы
Пять ошибок исправлены в одном обновлении, три из них позволяют внедрять команды ОС (оценка CVSS 9.0+). Организациям, использующим baserCMS, необходимо обновиться до версии 5.2.3 и проверить журналы на признаки атаки.
OpenClaw: инъекция команд, обход авторизации и утечка сведений
CVE-2026-32917 (CVSS 9.2) позволяет удалённо внедрять команды при обработке вложений в OpenClaw версий до 2026.3.13. CVE-2026-32916 (CVSS 9.2) позволяет получить доступ к маршрутам в обход авторизации в версиях 2026.3.7–2026.3.11. CVE-2026-32982 (CVSS 8.7) приводит к утечке данных через функцию fetchRemoteMedia, связанную с интеграцией Telegram.
WordPress и веб-платформы
CVE-2026-3300 (CVSS 9.8) затрагивает плагин Everest Forms Pro для WordPress. Ошибка позволяет выполнить произвольный код удалённо (RCE). Администраторам WordPress с этим плагином необходимо срочно обновиться.
CVE-2026-4317 (CVSS 9.3) обнаружена в Umami, платформе веб-аналитики с открытым кодом, часто используемой как альтернатива Google Analytics. SQL-инъекция через непроверенный параметр. CVE-2026-32714 (CVSS 9.8) затрагивает SciTokens, библиотеку авторизационных токенов для научных вычислений, до версии 1.9.6. SQL-инъекция в обработке токенов может нарушить контроль доступа к исследовательским средам.
Прочие
CVE-2026-3107 и CVE-2026-3106 (CVSS 9.3 каждая) позволяют провести XSS-атаки (межсайтовый скриптинг) в менеджере паролей Teampass до версии 3.1.5.16. Хранимая XSS в импорте и слепая XSS в форме входа.
XSS в менеджере паролей Teampass (CVE-2026-3107, CVE-2026-3106) заслуживает отдельного внимания. Само назначение приложения — хранить учётные записи. Хранимая XSS в импорте и слепая XSS в форме входа дают злоумышленнику доступ ко всему хранилищу. Обновление до 3.1.5.16 обязательно.
CVE-2026-34042 (CVSS 8.2) и CVE-2026-34041 (CVSS 7.7) затрагивают act, инструмент для локального запуска GitHub Actions, до версии 0.2.86. Выполнение кода и недостаточная проверка доверия. Инструмент работает с полным доступом к файловой системе разработчика. CVE-2026-34054 (CVSS 7.8) затрагивает vcpkg (менеджер пакетов C/C++ от Microsoft) до версии 3.6.1#3. CVE-2026-34155 (CVSS 7.2) затрагивает RAUC, контроллер OTA-обновлений для встраиваемых Linux-систем, до версии 1.15.2.
Ещё 46 уязвимостей опубликованы с оценками ниже 7.0.
CVSS 10.0 в NocoBase повторяет ошибку n8n и vm2: модуль Node.js vm передаёт хостовый объект в песочницу, и три строки кода превращают это в root-доступ. Документация Node.js прямо называет vm непригодным для безопасной изоляции. baserCMS с пятью CVE за один день и OpenClaw с тремя — признак того, что исследователи проверяли всю кодовую базу, а не отдельные функции. Раскрытие нескольких ошибок разом создаёт экстренную нагрузку на команды поддержки.
Обновить NocoBase до v2.0.28. Обновить baserCMS до 5.2.3. Проверить WordPress-плагин Everest Forms Pro. Обновить Teampass до 3.1.5.16. Обновить act до 0.2.86. Для проектов с SciTokens обновиться до 1.9.6.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
