Уязвимости за 7–8 марта 2026: RCE в WeKnora (CVSS 9.9), обход аутентификации в Parse Server и четыре уязвимости в Netmaker

За выходные 7–8 марта 2026 года опубликована 221 новая CVE. Две получили статус критических: CVE-2026-30860 в LLM-платформе WeKnora от Tencent (CVSS 9.9, удалённое выполнение кода) и CVE-2026-30863 в Parse Server (CVSS 9.3, обход аутентификации через JWT). В менеджере WireGuard-сетей Netmaker закрыты сразу четыре уязвимости, одна из которых позволяет извлечь приватные ключи всех VPN-туннелей. WordPress-экосистеме досталось восемь CVE, включая CSRF в WooCommerce версий 5.4.0–10.5.2.

WeKnora: выполнение кода через SQL-инъекцию в PostgreSQL (CVE-2026-30860, CVSS 9.9)

WeKnora — фреймворк Tencent на базе LLM для анализа документов и семантического поиска. В функции запросов к базе данных обнаружена SQL-инъекция, ведущая к удалённому выполнению произвольного кода (RCE).

Валидатор запросов не умеет рекурсивно проверять дочерние узлы в выражениях массивов и строках PostgreSQL. Злоумышленник прячет вызовы опасных функций внутри этих выражений, связывает их с операциями с большими объектами (large objects) и механизмом загрузки библиотек. Результат: выполнение произвольного кода с привилегиями пользователя базы данных. Аутентификация не требуется, взаимодействие пользователя не нужно.

Публичного эксплойта нет. Tencent исправила проблему в WeKnora 0.2.12. По данным GitHub Security Advisory (GHSA-8w32-6mrw-q5wv), тип уязвимости — CWE-89 (SQL Injection).

Parse Server: JWT без проверки аудитории открывает доступ к любому аккаунту (CVE-2026-30863, CVSS 9.3)

Parse Server — open-source бэкенд для мобильных приложений на Node.js, форк оригинального Parse (бывший Facebook). Адаптеры аутентификации Google, Apple и Facebook используют JWT для проверки токенов. Если параметр аудитории не задан в конфигурации (clientId для Google и Apple, appIds для Facebook), JWT-верификация тихо пропускает проверку audience claim.

Злоумышленник берёт валидный JWT, выпущенный для другого приложения, и входит как любой пользователь целевого Parse Server. Без привилегий, без участия жертвы, по сети. Тип уязвимости — CWE-287 (Improper Authentication).

Команда parse-community описала проблему в advisory GHSA-x6fw-778m-wr9v и выпустила исправления в версиях 8.6.10 и 9.5.0-alpha.11. Одного обновления недостаточно: администраторам Parse Server нужно убедиться, что clientId и appIds заданы в конфигурации адаптеров. Без этих параметров даже пропатченный сервер пропускает подмену аудитории.

Проблема не нова для Parse Server. В 2022 году CVE-2022-24723 затрагивала аналогичный вектор — обход аутентификации, хотя и через другой механизм. Текущая уязвимость опаснее: она задевает сразу три адаптера и получила оценку 9.3 по CVSS 4.0.

Netmaker: четыре уязвимости в менеджере WireGuard-сетей (CVSS до 8.7)

Netmaker от компании Gravitl создаёт и управляет VPN-сетями на базе WireGuard. За 7–8 марта опубликованы четыре CVE:

• CVE-2026-29196 (CVSS 8.7) — пользователь с ролью platform-user получает приватные ключи WireGuard всех конфигураций в сети через GET /api/extclients/{network} или GET /api/nodes/{network}. Интерфейс Netmaker ограничивает видимость, но API возвращает полные записи без фильтрации по принадлежности.
• CVE-2026-29771 (CVSS 8.7) — эндпоинт /api/server/shutdown доступен любому аутентифицированному пользователю до версии 1.2.0. Удалённое выключение сервера — в одном HTTP-запросе.
• CVE-2026-29194 (CVSS 8.6) — middleware авторизации некорректно проверяет права доступа.
• CVE-2026-29195 (CVSS 6.9) — обработчик PUT позволяет изменять данные чужих учётных записей.

Gravitl закрыла все четыре проблемы в Netmaker 1.5.0. Для Netmaker это не первый случай: в 2023 году CVE-2023-32077 (CVSS 9.1) раскрыла вшитый в код DNS-секрет. Проблемы с разграничением доступа в API носят системный характер.

Утечка приватных ключей WireGuard через CVE-2026-29196 означает, что все VPN-туннели, защищённые этими ключами, можно расшифровать. Организациям, использующим Netmaker, после обновления до 1.5.0 необходима ротация всех WireGuard-ключей: старые ключи могли быть извлечены через API до установки патча.

WooCommerce: CSRF позволяет создать администратора (CVE-2026-3589, CVSS 7.5)

WooCommerce — плагин электронной коммерции для WordPress с более чем 5 млн активных установок. Версии с 5.4.0 по 10.5.2 некорректно обрабатывают пакетные запросы (batch requests): неаутентифицированный злоумышленник через CSRF-атаку (подделка межсайтовых запросов) заставляет залогиненного администратора вызвать REST-эндпоинты за пределами Store API. Конечный результат: создание произвольного пользователя с правами администратора магазина.

Сложность эксплуатации высокая — нужно, чтобы администратор перешёл по вредоносной ссылке. Но охват огромен: затронуты все версии WooCommerce за пять лет. WooCommerce опубликовал бюллетень 2 марта 2026 года, патч доступен. Подробности — в отчёте WPScan.

WordPress: ещё семь плагинов под ударом

8 из 17 заметных CVE выходных связаны с экосистемой WordPress. Помимо WooCommerce:

• CVE-2025-8899 (CVSS 8.8) — HTML5 PPV Live Webcams: повышение привилегий.
• CVE-2026-3352 (CVSS 7.2) — Easy PHP Settings: внедрение PHP-кода, все версии до 1.0.4.
• CVE-2025-14353 (CVSS 7.5) — плагин защиты контента по почтовому индексу: SQL-инъекция.
• CVE-2026-2020 (CVSS 7.5) — JS Archive List: внедрение объектов PHP, все версии до 6.1.7.
• CVE-2026-1074 (CVSS 7.2) — WP App Bar: сохранённый XSS (межсайтовый скриптинг — выполнение вредоносного JavaScript в браузере посетителя).
• CVE-2026-2429 (CVSS 4.9) — Community Events: SQL-инъекция через CSV-поле ce_venue_name.

Отдельно — CVE-2026-30244 (CVSS 7.5): уязвимость в Plane, open-source инструменте управления проектами на Django. Затронуты версии до 1.2.2.

Kubernetes (Zarf), TimescaleDB и Sliver C2

CVE-2026-29064 (CVSS 8.2) затрагивает Zarf — менеджер пакетов Airgap для Kubernetes. Уязвимость path traversal (обход пути) при извлечении архива: специально сформированный пакет Zarf создаёт символические ссылки за пределами каталога назначения и читает или записывает произвольные файлы. Затронуты версии 0.54.0–0.73.0, исправлено в 0.73.1.

CVE-2026-29089 (CVSS 8.8) — уязвимость в TimescaleDB, расширении PostgreSQL для работы с временными рядами. CVE-2026-29781 (CVSS 5.3) — проблема в Sliver, open-source фреймворке управления и контроля (C2-сервер), использующем сетевой стек WireGuard.

Что обновлять и в каком порядке

Ни одна из 221 CVE за выходные не имеет подтверждённых случаев эксплуатации в реальных атаках. Публичных эксплойтов нет. Но две критические уязвимости (CVSS 9.3 и 9.9) позволяют атаковать без аутентификации и по сети, а для Netmaker утечка ключей необратима без ротации.

Приоритет обновлений: WeKnora → 0.2.12, Parse Server → 8.6.10 или 9.5.0-alpha.11 (плюс проверка clientId/appIds в конфигурации), Netmaker → 1.5.0 (плюс ротация WireGuard-ключей), WooCommerce → версия выше 10.5.2, Zarf → 0.73.1. Для WordPress-плагинов — проверить наличие обновлений через панель администрирования.