Производители программного обеспечения выпустили срочные обновления для устранения критических уязвимостей. Эти бреши могли позволить злоумышленникам обойти защиту, получить доступ к данным или выполнить произвольный код. Разберём подробно, какие проблемы были найдены и как их устранили.
Ivanti: утечка данных и атаки на клиентов
В системе Ivanti Xtraction обнаружена критическая уязвимость (CVE‑2026‑8043, оценка CVSS: 9,6). Проблема затрагивала версии до 2026.2 и позволяла удалённому аутентифицированному злоумышленнику:
читать конфиденциальные файлы;
записывать произвольные HTML‑файлы в веб‑каталог;
инициировать атаки на стороне клиента;
раскрывать чувствительную информацию.
Производитель выпустил обновление, закрывающее эту брешь.
Fortнет: два критических недостатка
Компания Fortinet опубликовала рекомендации по устранению двух серьёзных уязвимостей:
CVE‑2026‑44277 (оценка CVSS: 9,1) — недостаток контроля доступа в FortiAuthenticator. Злоумышленник без аутентификации мог выполнить неавторизованный код или команды через специально сформированные запросы. Проблема устранена в версиях 6.5.7, 6.6.9 и 8.0.3.
CVE‑2026‑26083 (оценка CVSS: 9,1) — отсутствие авторизации в веб‑интерфейсе FortiSandbox (включая облачные версии и PaaS). Атакующий мог выполнить код через HTTP‑запросы. Исправлено в версиях:
FortiSandbox 4.4.9 и 5.0.2;
FortiSandbox Cloud 5.0.6;
FortiSandbox PaaS 4.4.9 и 5.0.2.
SAP: инъекции SQL и проблемы с аутентификацией
SAP выпустила патчи для двух критических уязвимостей:
CVE‑2026‑34260 (оценка CVSS: 9,6) — уязвимость SQL‑инъекций в SAP S/4HANA. Злоумышленник мог внедрить вредоносные SQL‑запросы, что угрожало конфиденциальности и доступности приложения. При этом целостность данных не нарушалась, так как уязвимый код давал только доступ на чтение.
CVE‑2026‑34263 (оценка CVSS: 9,6) — отсутствие проверки аутентификации в конфигурации SAP Commerce Cloud. Из‑за слишком разрешающих настроек безопасности неавторизованный пользователь мог загрузить вредоносную конфигурацию и внедрить код, что приводило к выполнению произвольного кода на сервере.
VMware: повышение привилегий локально
Broadcom выпустила патч для серьёзной уязвимости в VMware Fusion (CVE‑2026‑41702, оценка CVSS: 7,8). Проблема связана с ошибкой TOCTOU (Time‑of‑check Time‑of‑use) в работе SETUID‑бинарника. Злоумышленник с локальными правами обычного пользователя мог повысить свои привилегии до уровня root в системе, где установлен Fusion. Уязвимость устранена в версии 26H1.
n8n: пять критических уязвимостей
Разработчики n8n закрыли сразу пять опасных брешей, позволяющих удалённо выполнять код:
CVE‑2026‑42231 (оценка CVSS: 9,4) — проблема в библиотеке xml2js, отвечающей за разбор XML‑запросов. Аутентифицированный пользователь с правами на создание или изменение рабочих процессов мог внедрить специально сформированный XML‑код и выполнить произвольный код на хосте n8n. Исправлено в версиях 1.123.32, 2.17.4 и 2.18.1.
CVE‑2026‑42232 (оценка CVSS: 9,4) — глобальное загрязнение прототипа через XML‑узел. В сочетании с другими узлами это могло привести к удалённому выполнению кода. Патч доступен в тех же версиях.
CVE‑2026‑44791 (оценка CVSS: 9,4) — обход защиты от CVE‑2026‑42232, также ведущий к удалённому выполнению кода. Устранено в версиях 1.123.43, 2.20.7 и 2.22.1.
CVE‑2026‑44789 (оценка CVSS: 9,4) — загрязнение прототипа из‑за непроверенного параметра пагинации в HTTP‑запросе. Атакующий с правами на изменение рабочих процессов мог выполнить код на хосте. Исправлено в тех же версиях.
CVE‑2026‑44790 (оценка CVSS: 9,4) — внедрение флагов CLI в операции Push узла Git. Это позволяло читать произвольные файлы с сервера n8n и приводило к полному компрометированию системы. Патч выпущен для версий 1.123.43, 2.20.7 и 2.22.1.
Другие производители тоже обновились
За последние недели патчи безопасности выпустили и другие вендоры, среди которых: ABB, Adobe, Amazon Web Services, AMD, Apple, ASUS, Atlassian, Axis Communications, Canon, Cisco, Dell, GitLab, Google (Android, Chrome, Cloud), HP, IBM, Lenovo, Microsoft, NVIDIA, Qualcomm, Samsung, Siemens, Zoom и многие другие. Обновления касаются операционных систем, браузеров, облачных сервисов, сетевого оборудования и прикладного ПО.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Компания Microsoft сообщила о критической уязвимости в локальных версиях почтового сервера Exchange Server. Проблема с идентификатором CVE‑2026‑42897 (оценка по шкале CVSS — 8,1 балла) уже используется злоумышленниками для атак в реальных условиях.
Компания Microsoft представила инновационную систему на базе искусственного интеллекта — MDASH (Multi‑model Agentic Scanning Harness). Инструмент создан для масштабного поиска и устранения уязвимостей в программном обеспечении. Сейчас система проходит тестирование в рамках ограниченного закрытого доступа у ряда клиентов.
Исследователи в сфере кибербезопасности обнаружили новый опасный бэкдор для Linux‑систем под названием PamDOORa. Вредоносное ПО появилось на российском форуме киберпреступников Rehub — злоумышленник под ником «darkworm» сначала предлагал его за 1 600 долларов, а к 9 апреля снизил цену почти вдвое — до 900 долларов.