⚠ Внимание ⚠

Вся информация, представленная ниже, предназначена только для ознакомительных целей. Автор не несёт ответственности за вред, который может быть причинён с помощью предоставленной им информации.

Май 2026 года ознаменовался всплеском критических уязвимостей, затрагивающих как корпоративные, так и потребительские технологии. Особое внимание привлекли уязвимости в системах сетевой безопасности, веб-платформах и средствах управления мобильными устройствами, что в очередной раз демонстрирует устойчивый интерес злоумышленников к слабым местам в инфраструктуре периметра и цепочке поставок ПО. Подведём вместе итоги пятого месяца этого года, поехали!

Навигация по уязвимостям

➡️ Три уязвимости в продуктах Microsoft (SSO, Azure AD B2C, Edge)

➡️ Использование освобождённой памяти в Google Chrome

➡️ Три критические уязвимости в плагинах WordPress

➡️ Переполнение буфера в Palo Alto Networks PAN-OS

➡️ Обход аутентификации в REST API Cisco Secure Workload

➡️ Три уязвимости в ядре Linux

➡️ Внедрение SQL-кода в SAP S/4HANA (Enterprise Search for ABAP)

➡️ Три уязвимости в Ivanti Endpoint Manager Mobile (EPMM)

? Три уязвимости в продуктах Microsoft

▶ CVE-2026-41103 / CVSS:4.0 — 9.3 CRITICAL

▶ CVE-2026-33843 / CVSS:4.0 — 9.3 CRITICAL

▶ CVE-2026-45495 / CVSS:4.0 — 8.7 HIGH

Об уязвимостях:

Microsoft сообщила о трёх серьёзных уязвимостях в своих продуктах, связанных с аутентификацией и удалённым выполнением кода. CVE-2026-41103 – это уязвимость в плагине Microsoft SSO для Atlassian Jira и Confluence: ошибка в проверке SAML-утверждений позволяет неаутентифицированному злоумышленнику подделать SSO-ответ и повысить привилегии до администратора. CVE-2026-33843 затрагивает Microsoft Azure Active Directory B2C, где обход аутентификации по альтернативному пути или каналу также приводит к повышению привилегий. Третья уязвимость, CVE-2026-45495, – это удалённое выполнение произвольного кода в Microsoft Edge на базе Chromium. EPSS-вероятность эксплуатации для первых двух CVE составляет порядка 0.2%, а для CVE-2026-45495 — около 0.1%.

Как эксплуатируется и последствия:

CVE-2026-41103: Атакующий отправляет специально сформированный ответ на уязвимый плагин Microsoft SSO сервера Jira или Confluence, подделывая SAML-утверждение, что позволяет обойти проверку аутентификации и получить доступ с правами администратора. Последствия включают полный контроль над данными проектов, настройками доступа и возможную компрометацию интеграций с Microsoft Entra ID и внешними сервисами.

CVE-2026-33843: Злоумышленник использует альтернативный путь аутентификации, не предусмотренный политиками безопасности, чтобы обойти проверку подлинности в Azure AD B2C. Это позволяет получить доступ к учётным записям пользователей, включая внешних клиентов, и использовать их для атак на связанные облачные приложения и API.

CVE-2026-45495: Эксплуатация возможна при посещении вредоносной веб-страницы: для срабатывания требуется взаимодействие пользователя (открытие страницы или подгрузка вредоносного контента в легитимную страницу). Ошибка в обработке данных позволяет выполнить произвольный код в контексте веб-браузера. Последствия включают кражу личных данных, установку вредоносного ПО и компрометацию системы.

Рекомендации:

1. Обновить плагин Microsoft SSO для Jira и Confluence до исправленной версии (Confluence/JIRA SAML SSO Plugin 1.3.3 и выше) согласно бюллетеню MSRC.

2. Для Azure AD B2C дополнительных действий от клиента не требуется — уязвимость устранена Microsoft на стороне облачного сервиса; рекомендуется проверить журналы аутентификации на предмет аномалий.

3. Обновить Microsoft Edge до версии 148.0.3967.70 или выше, особенно в корпоративных средах, где веб-браузер используется для доступа к внутренним ресурсам; включить автоматическое обновление.

? Использование освобождённой памяти в Google Chrome

▶ CVE-2026-7910 / CVSS:4.0 — 9.3 CRITICAL

Об уязвимости:

Уязвимость CVE-2026-7910 находится в компоненте Views браузера Google Chrome и связана с CWE-416 – использованием освобождённой памяти (Use-After-Free). Уязвимость затрагивает все версии Google Chrome до 148.0.7778.96 и оценена командой безопасности Chromium как High. Эксплуатация требует, чтобы атакующий предварительно скомпрометировал процесс рендеринга – только после этого специально сформированный HTML-документ позволяет обойти изоляцию сайтов, ключевую защиту от межсайтовых атак. Некорректная обработка освобождённых объектов в процессе отрисовки позволяет манипулировать указателями и получить доступ к памяти, принадлежащей другим сайтам.

Как эксплуатируется и последствия:

Имея контроль над рендер-процессом, атакующий использует вредоносный HTML-документ, провоцирующий обращение к уже освобождённому объекту в подсистеме Views. Это позволяет читать или записывать данные, относящиеся к другому сайту в изолированном процессе. Последствия:

• Доступ к конфиденциальным данным других сайтов, включая cookie, токены сессий и локальные данные.

• Возможность выполнения произвольного кода в контексте другого сайта и обхода межсайтовых ограничений.

• Снижение общего уровня защиты веб-браузера и повышение риска кражи учётных данных и атак на внутренние корпоративные ресурсы.

Рекомендации:

1. Обновить Google Chrome до версии 148.0.7778.96 или выше; проверить обновления для всех веб-браузеров на базе Chromium (Microsoft Edge, Opera, Vivaldi, Brave).

2. Использовать политики групповой безопасности для автоматического обновления веб-браузера в корпоративных средах, особенно при доступе к внутренним системам.

3. Включить дополнительные меры защиты: Content Security Policy (CSP) и атрибут SameSite для cookie, чтобы снизить риск компрометации рендер-процесса.

? Три критические уязвимости в плагинах WordPress

▶ CVE-2026-8181 / CVSS:4.0 — 9.3 CRITICAL

▶ CVE-2026-6279 / CVSS:4.0 — 9.3 CRITICAL

▶ CVE-2026-4882 / CVSS:4.0 — 9.3 CRITICAL

Об уязвимостях:

В экосистеме WordPress были выявлены три критические уязвимости в популярных плагинах, что делает их особенно опасными для сотен тысяч сайтов. CVE-2026-8181 (CWE-287) – обход аутентификации в плагине «Burst Statistics» (более 200 000 установок), связанный с некорректной обработкой возвращаемых значений при проверке паролей приложений. CVE-2026-6279 (CWE-94) – удалённое выполнение произвольного кода в плагине «Avada Builder» через внедрение PHP-функции без фильтрации. CVE-2026-4882 (CWE-434) – произвольная загрузка файлов в плагине «User Registration Advanced Fields» вследствие отсутствия проверки типов загружаемых файлов. По данным Wordfence, CVE-2026-8181 активно эксплуатируется в реальных атаках (в первые сутки заблокировано свыше 7 400 попыток). EPSS-вероятность эксплуатации для CVE-2026-8181 составляет около 3.6%, что выше среднего.

Как эксплуатируется и последствия:

CVE-2026-8181 позволяет атакующему обойти механизм аутентификации, если известно имя администратора. Функция «is_mainwp_authenticated()» проверяет лишь наличие заголовка, но не корректность результата проверки пароля приложения: при обращении вне обычного потока REST API вызов возвращает «null» вместо «WP_Error», и проверка «is_wp_error()» пропускает запрос. Достаточно отправить запрос с Basic Auth и произвольным паролем – атакующий получает привилегии администратора на время запроса, вплоть до создания новой учётной записи администратора без аутентификации.

CVE-2026-6279 произвольный пользователь имеет возможность выполнить PHP-код через конечную точку «fusion_get_widget_markup». В запросе передаётся base64-кодированный JSON, данные из которого без валидации попадают в «call_user_func()». Для вызова требуется nonce – временный токен, который извлекается из публичных страниц с элементами Post Cards или Table of Contents.

CVE-2026-4882 позволяет атакующему загрузить произвольный файл, если на сайте в форме регистрации настроено поле «Фото профиля». Вследствие отсутствия проверки MIME-типа и расширения в функции «URAF_AJAX::method_upload» существует возможность загрузить, например, PHP-файл, и при сохранении в общедоступную директорию выполнить его через веб-интерфейс. Это ведёт к установке веб-оболочек, бэкдоров или перенаправлению трафика.

Рекомендации:

1. Обновить плагины: «Burst Statistics» до версии 3.4.2 или выше, «Avada Builder» до 3.15.3 или выше, «User Registration Advanced Fields» до 1.6.21 или выше.

2. Провести аудит всех конечных точек AJAX, используемых без аутентификации, и проверить, не передают ли они пользовательский ввод в функции вроде «call_user_func()» без фильтрации.

3. Настроить веб-сервер (Nginx/Apache) и WordPress для блокировки загрузки файлов с исполняемыми расширениями, а также использовать модули безопасности (Wordfence, iThemes Security).

? Переполнение буфера в Palo Alto Networks PAN-OS

▶ CVE-2026-0300 / CVSS:4.0 — 9.3 CRITICAL

Об уязвимости:

Уязвимость переполнения буфера (CWE-787) обнаружена в сервисе User-ID™ Authentication Portal (также известном как Captive Portal) программного обеспечения Palo Alto Networks PAN-OS. Уязвимость позволяет неаутентифицированному удалённому атакующему выполнить произвольный код с правами суперпользователя (root) путём отправки специально сформированных пакетов. Затронуты межсетевые экраны серий PA-Series и VM-Series с включённым сервисом; Prisma Access, Cloud NGFW и Panorama не подвержены. Уязвимость подтверждена как эксплуатируемая в реальных атаках (in the wild), 6 мая 2026 года внесена в каталог CISA KEV, а наблюдаемая эксплуатация атрибутирована кластеру угроз CL-STA-1132 (предположительно поддерживаемому государством). По данным Shodan, в интернете доступно порядка 225 000 экземпляров PAN-OS. По оценке EPSS вероятность эксплуатации составляет около 4.5% (89-й перцентиль). Базовая оценка 9.3 действует при доступности портала из недоверенной сети; при ограничении доступа доверенными IP-адресами она снижается до 8.7.

Как эксплуатируется и последствия:

Атакующий отправляет специально сформированные сетевые пакеты на сервис User-ID™ Authentication Portal. Пакеты вызывают переполнение буфера в обработчике входящих запросов, что приводит к перезаписи критических участков памяти, включая указатели на функции, и позволяет перехватить управление потоком исполнения. После успешной эксплуатации атакующий получает root-доступ к межсетевому экрану, что открывает возможность установки вредоносных модулей, перехвата трафика, изменения правил фильтрации и отключения мониторинга безопасности. Последствия могут включать компрометацию всей защищаемой инфраструктуры и утечку конфиденциальных данных.

Рекомендации:

1. Обновить PAN-OS до версии, в которой уязвимость устранена, согласно официальному бюллетеню Palo Alto Networks; для PAN-OS 11.1 и выше доступна экстренная сигнатура Threat Prevention для блокировки попыток эксплуатации.

2. Ограничить доступ к сервису User-ID™ Authentication Portal только доверенными внутренними IP-адресами или полностью отключить его, если он не используется.

3. Провести аудит конфигураций и журналов на предмет признаков несанкционированного доступа и активировать мониторинг подозрительной активности на сетевых устройствах.

? Обход аутентификации в REST API Cisco Secure Workload

▶ CVE-2026-20223 / CVSS:4.0 — 10.0 CRITICAL

Об уязвимости:

Уязвимость валидации доступа к внутренним REST API в Cisco Secure Workload (Cluster Software) позволяет неаутентифицированному удалённому атакующему получить доступ к ресурсам с привилегиями роли Site Admin. Причина (CWE-306) – отсутствие должной проверки аутентификации и авторизации при обращении к конечным точкам API. Уязвимость затрагивает развёртывания как SaaS, так и on-prem, независимо от конфигурации устройства, и не затрагивает веб-интерфейс управления – только внутренние API. Site Admin является ролью с наивысшими привилегиями, что позволяет выходить за границы изоляции между тенантами.

Как эксплуатируется и последствия:

Атакующий отправляет специально сформированный запрос на уязвимую конечную точку внутреннего REST API без аутентификационных данных. Вследствие ошибки в логике проверки сервер принимает запрос как действительный и возвращает данные с привилегиями Site Admin. Последствия:

• Чтение конфиденциальной информации и изменение конфигураций через границы тенантов с правами Site Admin.

• Утечка секретов и других чувствительных данных, хранящихся в конфигурациях, а также журналов.

• Нарушение изоляции между тенантами, что создаёт риск для соседних клиентских окружений в мультитенантной среде.

Рекомендации:

1. Обновить Cisco Secure Workload Cluster Software до исправленной версии 3.10.8.3 или 4.0.3.17.

2. Настроить строгие правила ограничения доступа к REST API (IP-фильтрация, сегментация сети), чтобы исключить публичный доступ к внутренним конечным точкам.

3. Провести аудит журналов обращений к API и выполнить ротацию секретов, если система могла быть подвергнута атаке.

? Три уязвимости в ядре Linux

▶ CVE-2026-43049 / CVSS:4.0 — 8.5 HIGH

▶ CVE-2026-43015 / CVSS:4.0 — 8.5 HIGH

▶ CVE-2026-31747 / CVSS:4.0 — 7.3 HIGH

Об уязвимостях:

Три уязвимости, исправленные в ядре Linux в мае 2026 года, связаны с нарушением целостности памяти и некорректной обработкой данных. CVE-2026-43049 и CVE-2026-43015 классифицируются как CWE-416 (Use-After-Free), CVE-2026-31747 – как переполнение буфера (CWE-787). Уязвимости затрагивают широкий диапазон версий ядра, включая актуальные ветки. Поскольку все три уязвимости локальны, они могут быть использованы злоумышленниками с ограниченными привилегиями для повышения привилегий, раскрытия информации или вызова отказа в обслуживании.

Как эксплуатируется и последствия:

CVE-2026-43049: Уязвимость возникает в HID-драйвере «logitech-hidpp» при инициализации периферийного устройства Logitech G920 Driving Force Racing Wheel. Если инициализация обратной связи завершается с ошибкой, инфраструктура пространства пользователя (sysfs и /dev/input) не демонтируется корректно, и продолжение использования «висячих» указателей приводит к use-after-free. Локальный пользователь с доступом к интерфейсу устройства имеет возможность вызвать неопределённое поведение, включая аварийное завершение ядра или, потенциально, выполнение произвольного кода.

CVE-2026-43015: Уязвимость связана с некорректным управлением ресурсами при удалении драйвера «macb» (подсистема PCI) и обращением к уже освобождённым указателям, что фиксируется KASAN. Эксплуатация возможна при загрузке и выгрузке модуля «macb_pci» и способна вызвать «панику ядра» или утечку памяти.

CVE-2026-31747: Уязвимость возникает в драйвере me4000 (подсистема comedi) при загрузке прошивки в функции «me4000_xilinx_download()». Драйвер доверяет длине потока данных, указанной в заголовке файла прошивки, без проверки фактического размера буфера, что приводит к выходу за его границы. Это уязвимость чтения за границами буфера, ведущая к раскрытию информации, повреждению памяти ядра или отказу в обслуживании; для эксплуатации требуется возможность подменить загружаемую прошивку.

Рекомендации:

1. Обновить ядро Linux до версии, в которой уязвимости устранены; при невозможности обновления применить патчи дистрибутива.

2. Проверить настройки модулей ядра (драйверы ввода, PCI-устройства, comedi) и отключить неиспользуемые драйверы для сокращения атакуемой поверхности.

3. Ограничить доступ к системным вызовам загрузки прошивок и использовать инструмент KASAN в тестовых средах для раннего выявления повреждений памяти.

? Внедрение SQL-кода в SAP S/4HANA (SAP Enterprise Search for ABAP)

▶ CVE-2026-34260 / CVSS:4.0 — 8.5 HIGH

Об уязвимости:

В модуле SAP Enterprise Search for ABAP, входящем в состав SAP S/4HANA, обнаружена уязвимость внедрения SQL-кода (CWE-89). Причина – прямое конкатенирование пользовательских данных в SQL-запросы без должной валидации или экранирования. Аутентифицированный атакующий с низким уровнем привилегий способен вставить в параметры запроса SQL-команды, которые будут выполнены на уровне базы данных. Уязвимость затрагивает компоненты «SAP_BASIS» версий 751–816 и устранена в рамках майского набора обновлений (SAP Security Note 3724838). Согласно официальной оценке, уязвимость имеет высокое влияние на конфиденциальность и доступность; на целостность влияние отсутствует.

Как эксплуатируется и последствия:

Атакующий, имея легитимный пользовательский доступ, отправляет специально сформированный запрос в интерфейс SAP Enterprise Search for ABAP, внедряя SQL-код в параметр поиска или фильтрации. Сервер без должной валидации подставляет ввод в SQL-запрос, что позволяет выполнить произвольные SQL-команды. Последствия:

• Утечка конфиденциальной информации, включая бизнес-данные, учётные записи и параметры конфигурации.

• Возможность вызвать ошибки выполнения и аварийное завершение приложения (отказ в обслуживании).

• Нарушение доступности системы вследствие сбоя в работе модуля поиска или базы данных.

Рекомендации:

1. Установить майские исправления SAP (SAP Security Note 3724838) для затронутых версий SAP S/4HANA.

2. Использовать параметризованные SQL-запросы и проводить строгую валидацию всех входных данных на стороне сервера.

3. Ограничить доступ к модулю SAP Enterprise Search for ABAP только пользователями, чьи роли требуют его использования, и включить логирование SQL-запросов для выявления подозрительной активности.

? Три уязвимости в Ivanti Endpoint Manager Mobile (EPMM)

▶ CVE-2026-5787 / CVSS:4.0 — 9.3 CRITICAL

▶ CVE-2026-7821 / CVSS:4.0 — 9.1 CRITICAL

▶ CVE-2026-5788 / CVSS:4.0 — 9.3 CRITICAL

Об уязвимостях:

В майском бюллетене безопасности Ivanti для Endpoint Manager Mobile (EPMM, ранее MobileIron Core) раскрыто несколько уязвимостей, затрагивающих on-prem (локального) развёртывания версий до 12.6.1.1, а также 12.7.0.1 и 12.8.0.1. CVE-2026-5787 и CVE-2026-7821 связаны с CWE-295 (некорректная проверка сертификатов), а CVE-2026-5788 – с CWE-284 (недостаточный контроль доступа). Стоит отметить, что в том же бюллетене была раскрыта отдельная уязвимость CVE-2026-6973, уже эксплуатируемая как zero-day в ограниченном числе атак; описанные ниже три уязвимости на момент публикации активно не эксплуатировались, но представляют серьёзный риск для инфраструктуры управления мобильными устройствами.

Как эксплуатируется и последствия:

CVE-2026-5787: Неаутентифицированный атакующий имеет возможность выдать себя за зарегистрированный узел шлюза Ivanti Sentry и получить действительный клиентский сертификат, подписанный доверенным центром сертификации. Это компрометирует модель доверия интеграций Sentry, защищающих внутреннюю инфраструктуру EPMM, и позволяет подключаться к ней под чужим именем.

CVE-2026-7821: Неаутентифицированный атакующий способен зарегистрировать устройство из ограниченного набора (через реализацию Apple Device Enrollment), что приводит к раскрытию информации о конфигурации EPMM и влияет на целостность идентичности нового устройства. Это создаёт возможность для дальнейших атак, включая подмену устройств в корпоративной сети.

CVE-2026-5788: Вследствие недостаточного контроля доступа неаутентифицированный атакующий имеет возможность вызывать произвольные методы через удалённый интерфейс EPMM, получая доступ к внутренним функциям, предназначенным только для авторизованных пользователей. Это может привести к разведке, утечке данных, модификации настроек или нарушению работы системы.

Рекомендации:

1. Обновить Ivanti Endpoint Manager Mobile до версии 12.6.1.1, 12.7.0.1 или 12.8.0.1 в зависимости от используемой ветки.

2. Провести аудит всех устройств, подключённых к EPMM, и проверить наличие подозрительных сертификатов или неожиданных регистраций.

3. Включить дополнительные механизмы аутентификации и авторизации, ограничить доступ к API-методам, не связанным с управлением устройствами, и изолировать интерфейсы управления от публичного доступа.