Последние новости: Обзор уязвимостей

Oracle закрыла 481 баг за один заход: больше 300 уязвимостей можно было атаковать по сети без авторизации

Максимальная оценка CVSS 10.0 для NocoBase: побег из песочницы Node.js vm до root в три строки кода. Японская CMS В baserCMS обнаружены пять ошибок за день, три с инъекцией команд. WordPress Everest Forms Pro уязвим к RCE (CVSS 9.8). Всего …

Максимальная оценка CVSS 10.0 для прокси авторизации ORY Oathkeeper. Три ошибки в одном обновлении позволяли обойти контроль доступа к API. Squid получил 9.2 за use-after-free. Perl-модуль Plack 12 лет жил с RCE на CVSS 9.8. Всего за день опубликовано 192 …

21 уязвимость на всех платформах Apple за один день, включая обход защиты украденного iPhone. Cisco исправила IOS XE полугодовым пакетом, три ошибки без авторизации. Два npm-пакета (node-tesseract-ocr, pdf-image) получили оценку CVSS 9.8: имя файла с метасимволами запускает команду ОС.

42 ошибки Firefox 149 в одном предупреждении. Шесть позволяют выйти из песочницы, одной вредоносной страницы достаточно. Пять ошибок впервые нашёл ИИ-ассистент Claude от Anthropic. Chrome в тот же день закрыл 8 опасных ошибок. Langflow получила третью RCE за неделю.

13 ошибок за двое суток в одной платформе. AVideo хранит пароли в MD5 и отдаёт секретные ключи без входа. Криптобиблиотека jsrsasign позволяет восстановить закрытый ключ DSA из нескольких подписей. Обновления недостаточно, нужно перевыпустить ключи и отозвать сертификаты.

198 CVE за выходные. Протокол BACnet передаёт данные автоматизации зданий без шифрования (CVSS 9.1). WordPress получил семь ошибок повышения привилегий за четыре дня, SQL-инъекцию через cookie, обходящую WAF, и захват администратора через проверку подстроки strpos().

Экстренный патч вне квартального цикла — Oracle считает угрозу слишком острой. CVE-2026-21992 почти дословно повторяет ошибку, которую эксплуатировали в ноябре 2025. Spring Boot закрыла два обхода аутентификации. В FastGPT нашли способ протащить вредоносный Docker-образ.

Три ошибки WordPress с оценками 9.3–9.8 и без патча. Одинаковая SSRF появилась сразу в трёх менеджерах проектов за месяц. ИИ-агент OpenClaw набрал 15 записей о безопасности за март. В автопилоте дронов PX4 переполнение буфера по MAVLink без аутентификации.

В подборке 104 CVE выделяются SQL-инъекция в ИИ-платформе Spring AI, обход проверки доверия в стандарте ONNX (патча нет, CVSS 9.1) и обход аутентификации в медицинском расширении KiviCare (CVSS 9.8). Инфраструктура ИИ и медицинские данные под ударом.

В дневной подборке 45 CVE выделяются два RCE в SIEM-платформе Wazuh (CVSS 9.1 каждая), утечка ключей шифрования ScreenConnect (9.0), три KVM-ошибки (9.3) и обход шлюза одобрения Apache Airflow. Инструменты защиты сами превращаются в точки входа.

252 уязвимости за один день, включая два выхода из песочницы Chrome Mojo. Один принёс исследователю рекордные $250 000, другой использовала APT-группировка TaxOff. В Unraid снова нашли цепочку root-доступа в том же файле, что и шесть лет назад.

124 новые уязвимости за сутки, три критических. Veeam Backup с четырьмя уязвимостями (CVSS до 9.8), среди которых активно эксплуатируемая группировками-вымогателями Akira, Fog и Frag.

420 новых CVE за сутки. Обход аутентификации в плагине Tutor LMS Pro для WordPress (CVSS 9.8) позволяет войти под любым пользователем. SQL-инъекция в системе автоматизации АЗС «Нефтепродукттехника» открывает базу данных заправки.

Очередная уязвимость аннотаций ingress-nginx (CVSS 8.8) продолжает годовую цепочку проблем контроллера Kubernetes. Семь CVE в модемах Unisoc обрушивают связь Android-смартфонов удалённо. Budibase позволяет выполнять команды ОС через PostgreSQL.