Последние новости: Обзор уязвимостей

Adobe чинит Campaign Classic, ColdFusion и Acrobat: что обновлять первым

Сканеры Kubernetes начнут видеть старые CVE после правки официальной базы

Крупная bug bounty-платформа пересчитала вознаграждения в Internet Bug Bounty. Исследователи жалуются на задержки и суммы в разы ниже ожидаемых, а сама программа временно не принимает новые отчёты

Google выпустила Chrome 148 для Windows, macOS и Linux и закрыла 127 уязвимостей безопасности. В набор вошли три критические ошибки, десятки уязвимостей высокой степени опасности и большое число проблем с памятью в ключевых компонентах браузера: Blink, V8, ANGLE, WebRTC, GPU, …

Исследователи мобильной безопасности заявили, что уязвимости обнаруживаются почти в каждом публичном мобильном приложении. Главные проблемы — небезопасное хранение данных, слабая защита API, ошибки авторизации и утечки пользовательской информации.

Oracle закрыла 481 баг за один заход: больше 300 уязвимостей можно было атаковать по сети без авторизации

Максимальная оценка CVSS 10.0 для NocoBase: побег из песочницы Node.js vm до root в три строки кода. Японская CMS В baserCMS обнаружены пять ошибок за день, три с инъекцией команд. WordPress Everest Forms Pro уязвим к RCE (CVSS 9.8). Всего …

Максимальная оценка CVSS 10.0 для прокси авторизации ORY Oathkeeper. Три ошибки в одном обновлении позволяли обойти контроль доступа к API. Squid получил 9.2 за use-after-free. Perl-модуль Plack 12 лет жил с RCE на CVSS 9.8. Всего за день опубликовано 192 …

21 уязвимость на всех платформах Apple за один день, включая обход защиты украденного iPhone. Cisco исправила IOS XE полугодовым пакетом, три ошибки без авторизации. Два npm-пакета (node-tesseract-ocr, pdf-image) получили оценку CVSS 9.8: имя файла с метасимволами запускает команду ОС.

42 ошибки Firefox 149 в одном предупреждении. Шесть позволяют выйти из песочницы, одной вредоносной страницы достаточно. Пять ошибок впервые нашёл ИИ-ассистент Claude от Anthropic. Chrome в тот же день закрыл 8 опасных ошибок. Langflow получила третью RCE за неделю.

13 ошибок за двое суток в одной платформе. AVideo хранит пароли в MD5 и отдаёт секретные ключи без входа. Криптобиблиотека jsrsasign позволяет восстановить закрытый ключ DSA из нескольких подписей. Обновления недостаточно, нужно перевыпустить ключи и отозвать сертификаты.

198 CVE за выходные. Протокол BACnet передаёт данные автоматизации зданий без шифрования (CVSS 9.1). WordPress получил семь ошибок повышения привилегий за четыре дня, SQL-инъекцию через cookie, обходящую WAF, и захват администратора через проверку подстроки strpos().

Экстренный патч вне квартального цикла — Oracle считает угрозу слишком острой. CVE-2026-21992 почти дословно повторяет ошибку, которую эксплуатировали в ноябре 2025. Spring Boot закрыла два обхода аутентификации. В FastGPT нашли способ протащить вредоносный Docker-образ.

Три ошибки WordPress с оценками 9.3–9.8 и без патча. Одинаковая SSRF появилась сразу в трёх менеджерах проектов за месяц. ИИ-агент OpenClaw набрал 15 записей о безопасности за март. В автопилоте дронов PX4 переполнение буфера по MAVLink без аутентификации.

В подборке 104 CVE выделяются SQL-инъекция в ИИ-платформе Spring AI, обход проверки доверия в стандарте ONNX (патча нет, CVSS 9.1) и обход аутентификации в медицинском расширении KiviCare (CVSS 9.8). Инфраструктура ИИ и медицинские данные под ударом.