DIGINEWS

Новости: уязвимость

Уязвимость – Новости о уязвимостях в системах и софтвере. Опасности, затрагивающие данные, и способы защиты.

Устранена критическая уязвимость обхода «песочницы» в популярном Java-шаблонизаторе Thymeleaf

Разработчики Thymeleaf, популярного движка шаблонов для Java, устранили критическую уязвимость SSTI (CVE-2026-40478, оценка 9.1), позволяющую неаутентифицированным атакам выполнять код на серверах, обходя защиту «песочницы». — csoonline.com

Thymeleaf Ssti Java уязвимость Spring Rce csoonline.com
Безопасность
18.04.2026
Lucian Constantin

csoonline.com, java, rce, spring, ssti, thymeleaf, уязвимость

Ошибочное обновление Cisco может заблокировать получение патчей для точек доступа

Администраторы Cisco устраняют критическую уязвимость переполнения флэш-памяти в более чем 200 моделях точек доступа на базе IOS XE, вызванную сбоем в обновлении ПО. Неисправленная проблема может привести к блокировке дальнейших обновлений и выходу устройств из строя. — csoonline.com

Cisco Ios Xe уязвимость флэш-память переполнение точки доступа csoonline.com
Безопасность
18.04.2026
Howard Solomon

cisco, csoonline.com, ios xe, переполнение, точки доступа, уязвимость, флеш-память

CISA приказала госведомствам устранить 13-летнюю уязвимость в локальном Apache ActiveMQ, которая уже используется хакерами

Уязвимость CVE-2026-34197 в Apache ActiveMQ, скрывавшаяся более десяти лет, попала в список KEV агентства CISA из-за активной эксплуатации. Требуется срочное обновление. — theregister.com

Activemq Cisa Rce уязвимость Kev Jolokia theregister.com
Локально
17.04.2026
Carly Page

activemq, CISA, jolokia, kev, rce, theregister.com, уязвимость

Очередная уязвимость Microsoft Defender для повышения привилегий обнаружена через несколько дней после выхода патча

Спустя несколько дней после исправления критической уязвимости в Windows Defender исследователи предупреждают о новом эксплойте «RedSun», который позволяет локально повысить привилегии до уровня SYSTEM, используя некорректную обработку файлов с облачными тегами антивирусом Microsoft. — csoonline.com

Windows Defender уязвимость Poc повышение привилегий Redsun csoonline.com
Безопасность
17.04.2026
Shweta Sharma

csoonline.com, poc, redsun, windows defender, повышение привилегий, уязвимость

CISA предупреждает об активной эксплуатации уязвимости в Apache ActiveMQ

CISA предупредило, что злоумышленники активно используют критическую уязвимость Apache ActiveMQ, устраненную в этом месяце после 13 лет необнаружения. Уязвимость CVE-2026-34197 позволяет удаленно выполнять код. — bleepingcomputer.com

Cisa Activemq уязвимость Cve кибербезопасность bleepingcomputer.com
Безопасность
17.04.2026
Sergiu Gatlan

activemq, bleepingcomputer.com, CISA, CVE, кибербезопасность, уязвимость

RCE по умолчанию: архитектурное решение MCP стало угрозой для экосистемы AI-агентов

Инструменты для создания ИИ-агентов, использующие протокол MCP, могут быть уязвимы к удаленному выполнению кода из-за архитектурного решения в эталонной реализации Anthropic. Проблема кроется в небезопасных настройках по умолчанию при работе конфигурации MCP через интерфейс STDIO. — csoonline.com

Mcp Rce Anthropic Stdio уязвимость ии-агенты csoonline.com
Безопасность
17.04.2026
Lucian Constantin

Anthropic, csoonline.com, mcp, rce, stdio, ии-агенты, уязвимость

Cisco Systems выпустила три бюллетеня безопасности из-за критических уязвимостей в Webex и ISE

Администраторы Cisco Webex Services, использующие SSO с Control Hub, должны установить новый сертификат поставщика удостоверений для устранения критической уязвимости, иначе рискуют потерей контроля доступа. Cisco выпустила бюллетень с инструкциями по загрузке нового SAML-сертификата IdP в Webex Control Hub. — csoonline.com

Cisco Webex Sso сертификат уязвимость Control Hub csoonline.com
Безопасность
17.04.2026
Howard Solomon

cisco, control hub, csoonline.com, SSO, webex, сертификат, уязвимость

Новый PoC для уязвимости нулевого дня RedSun в Microsoft Defender позволяет получить права SYSTEM

Исследователь «Chaotic Eclipse» опубликовал эксплойт RedSun — вторую уязвимость нулевого дня в Microsoft Defender, дающую привилегии SYSTEM, — в знак протеста против работы Microsoft с исследователями кибербезопасности. — bleepingcomputer.com

Microsoft Defender уязвимость эксплойт Zero-Day Lpe bleepingcomputer.com
Безопасность
16.04.2026
Lawrence Abrams

bleepingcomputer.com, lpe, microsoft defender, zero-day, уязвимость, эксплойт

Windows Recall от Microsoft по-прежнему уязвим для скрытой кражи данных

Функция Windows Recall от Microsoft остается уязвимой для полного извлечения данных, несмотря на переработку безопасности. Исследователь кибербезопасности Александр Хагенах утверждает, что вредоносное ПО может похищать данные без прав администратора. — csoonline.com

Recall Windows безопасность уязвимость Microsoft данные csoonline.com
Безопасность
16.04.2026
Gyana Swain

csoonline.com, Microsoft, recall, Windows, безопасность, данные, уязвимость

Критическая уязвимость в Nginx UI, позволяющая обойти аутентификацию, активно используется злоумышленниками

Критическая уязвимость в Nginx UI с поддержкой MCP позволяет удаленным злоумышленникам захватить полный контроль над сервером без аутентификации через незащищенную конечную точку «/mcp_message». Уязвимость активно эксплуатируется. — bleepingcomputer.com

Nginx Ui уязвимость Mcp Cve-2026-33032 захват сервера bleepingcomputer.com
Безопасность
16.04.2026
Bill Toulas

bleepingcomputer.com, cve-2026-33032, mcp, nginx ui, захват сервера, уязвимость