Новости: уязвимость

Cisco устранила критическую уязвимость нулевого дня (CVE-2026-20045) в оборудовании унифицированных коммуникаций, позволяющую удаленно выполнять произвольный код. CISA внесла изъян в список активно используемых, и неисправленные системы могут быть полностью захвачены.

Эксперты требуют немедленного обновления GitLab из-за критической уязвимости обхода двухфакторной аутентификации (2FA), позволяющей злоумышленникам получить доступ к репозиториям. В рамках патчей также исправлены три уязвимости высокого и две среднего уровня.

Oracle выпустила первое крупное обновление безопасности года, содержащее 337 исправлений, включая 27 критических. Специалисты по безопасности должны приоритизировать работу, учитывая отсутствие известных эксплойтов “нулевого дня”. Обзор затрагивает сложности с “раздуванием CVE” и уязвимости в стороннем коде.

Обнаружена новая уязвимость в Google Gemini: хакеры могут использовать приглашения в календарь для внедрения вредоносных инструкций, что подчёркивает риски безопасности при интеграции генеративного ИИ в корпоративные рабочие процессы. Эксперты призывают к Zero Trust и ограничению привилегий ИИ.

Cisco наконец выпустила патч для устранения критической уязвимости нулевого дня (CVE-2025-20393) в шлюзах безопасности электронной почты Secure Email Gateway и Secure Email and Web Manager. Уязвимость, эксплуатировавшаяся с ноября, позволяла удалённо получить права root, если была активирована функция Spam Quarantine, доступная из интернета.

Check Point зафиксировала более 40 тысяч атак на уязвимость HPE OneView за несколько часов, связывая их с ботнетом RondoDox. Наиболее уязвимыми оказались правительственные организации по всему миру.

Критическая уязвимость с максимальным баллом CVSS 10.0 обнаружена в плагине Modular DS для WordPress, позволяющая неаутентифицированному злоумышленнику получить полный административный доступ. Исследователи подтвердили активную эксплуатацию ошибки CVE-2026-23550 в версиях до 2.5.1. Выпущено обновление 2.5.2.

Исследователь выявил серьезную уязвимость в системе экспозиции Carlsberg в Копенгагене: данные посетителей, включая имена и видео, доступны для взлома с помощью перебора кодов браслетов. Несмотря на уведомление, компания медленно реагировала, а проблема остается нерешенной.

Palo Alto Networks выпустила срочные патчи для платформы PAN-OS после обнаружения критической уязвимости CVE-2026-0227 (CVSS 7.7), способной вызвать отказ в обслуживании (DoS) и перевести межсетевой экран в режим обслуживания. Уязвимость затрагивает конфигурации NGFW и Prisma Access с активированным GlobalProtect.

Исследователи Wiz выявили критическую ошибку в сервисе AWS CodeBuild, которая могла привести к компрометации ключевых репозиториев GitHub. Уязвимость, вызванная неполным регулярным выражением, позволяла злоумышленникам получать доступ к конфиденциальным данным.