Сегодня в ТОП-5 — критическая уязвимость в Flowise, обход AuthZ без кода, привилегий и инструментов, Ninja Forms File Upload: отсутствие проверки расширений ведёт к компрометации, в Adobe Reader активно эксплуатируется 0-day-уязвимость, в ActiveMQ Classic обнаружена RCE-уязвимость, существующая более 10 лет.
Критическая уязвимость в Flowise активно эксплуатируется
Исследователи VulnCheck сообщают об активной эксплуатации критической уязвимости CVE-2025-59528 (CVSS: 10.0) в платформе ИИ Flowise. Уязвимость возникает из-за того, что узел CustomMCP выполняет JavaScript-код из пользовательской конфигурации без какой-либо проверки безопасности. Это даёт злоумышленнику возможность выполнить произвольный код на сервере с полными привилегиями Node.js, что ведёт к компрометации системы, доступу к файлам и утечке данных. Проблема устранена в версии 3.0.6, однако в интернете остаётся более 12 000 уязвимых экземпляров, которые уже сканируются и эксплуатируются. Пользователям рекомендуется обновиться до последней версии.
Обход AuthZ без кода, привилегий и инструментов
В Docker Engine обнаружена уязвимость CVE-2026-34040 (CVSS: 8.8), которая позволяет обойти плагины авторизации (AuthZ) из-за неполного исправления предыдущей критической уязвимости CVE-2024-41110 (CVSS: 9.9). Злоумышленник может отправить API-запрос с телом размером более 1 МБ, и демон Docker обработает его в обычном режиме, но плагины авторизации (AuthZ) получат пустое тело и, не найдя повода для блокировки, разрешат действие. Это позволяет создать привилегированный контейнер с доступом к файловой системе хоста и извлечь учетные данные AWS, ключи SSH и конфигурации Kubernetes. Проблема исправлена в версии Docker Engine 29.3.1, если обновление невозможно — рекомендуется ограничить доступ к API Docker доверенными лицами или запускать Docker в режиме без прав root.
Ninja Forms File Upload: отсутствие проверки расширений ведёт к компрометации
Defiant предупреждает, что в платном дополнении Ninja Forms File Upload для WordPress обнаружена критическая уязвимость CVE-2026-0740 (CVSS: 9.8). Уязвимость позволяет неавторизованному злоумышленнику загружать произвольные файлы, включая PHP-скрипты, что ведёт к удалённому выполнению кода и полному захвату сайта. Проблема вызвана отсутствием проверки типов и расширений файлов, а также уязвимостью к обходу пути, что позволяет переместить вредоносный файл даже в корневой каталог сервера. Уязвимость затрагивает все версии дополнения до 3.3.26 включительно, а полное исправление выпущено в версии 3.3.27. Пользователям настоятельно рекомендуется немедленно обновиться, так как ежедневно фиксируются тысячи попыток эксплуатации.
В Adobe Reader активно эксплуатируется 0-day-уязвимость
В Adobe Reader обнаружена активно эксплуатируемая 0-day-уязвимость CVE-2026-34621 (CVSS: 8.6), которая позволяет злоумышленникам атаковать пользователей через специально созданные PDF-документы без какого-либо взаимодействия, кроме открытия файла. Вредоносный PDF использует привилегированные API Acrobat для кражи данных. Сначала он собирает информацию о жертве, а затем адаптивно подбирает способ взлома, обходя защитные механизмы. В итоге атака может привести к удалённому выполнению кода и полному контролю над системой. Вредоносные PDF-файлы маскируются под документы на тему нефтегазовой отрасли и используют обфусцированный JavaScript для сбора данных и загрузки дополнительного вредоносного ПО. Пользователям настоятельно рекомендуется обновить Adobe Reader до последней версии, а также не открывать PDF-файлы из ненадёжных источников.
В ActiveMQ Classic обнаружена RCE-уязвимость, существующая более 10 лет
В Apache ActiveMQ Classic обнаружена RCE-уязвимость CVE-2026-34197 (CVSS: 8.8), которая оставалась незамеченной более 10 лет и затрагивает все версии до 5.19.4 и от 6.0.0 до 6.2.3. Уязвимость была найдена с помощью ИИ-помощника Claude, который проанализировал взаимодействие независимых компонентов Jolokia, JMX, сетевых коннекторов. Злоумышленник может отправить специальный запрос, чтобы заставить брокера загрузить удаленный Spring XML-файл и выполнить произвольные системные команды. Для эксплуатации требуется аутентификация через Jolokia, однако в версиях 6.0.0 – 6.1.1 она не нужна из-за отдельной уязвимости CVE-2024-321, которая предоставляет доступ к API без контроля доступа. Разработчик устранил уязвимость в версиях 6.2.3 и 5.19.4, пользователям рекомендуется немедленно обновиться, а также проверять журналы на наличие подозрительных соединений с параметром brokerConfig=xbean:http://.
ссылка на оригинал статьи https://habr.com/ru/articles/1022946/