Топ самых интересных CVE за июнь 2026 года

от автора

⚠ Внимание ⚠

Вся информация, представленная ниже, предназначена только для ознакомительных целей. Автор не несёт ответственности за вред, который может быть причинён с помощью предоставленной им информации.

Июнь 2026 года ознаменовался всплеском активности в сфере кибербезопасности: критические уязвимости затронули веб-браузеры, корпоративную почту, средства управления мобильными устройствами и контейнерные платформы. Особое внимание привлекли уязвимости с подтверждённой эксплуатацией в реальных атаках. Подведём вместе итоги шестого месяца этого года, поехали!

Навигация по уязвимостям

➡️ Три уязвимости Use-after-Free в Google Chrome

➡️ Три уязвимости в Microsoft Exchange и Copilot

➡️ Использование освобождённой памяти в модуле WebGPU Mozilla Firefox

➡️ Обход аутентификации и удалённое выполнение кода в Ivanti Sentry

➡️ Состояние гонки в Docker CLI

➡️ Некорректная авторизация в обработчике URL-схемы Zoom Workplace

➡️ Три уязвимости инъекции команд в QNAP

➡️ Повышение привилегий в Oracle WebCenter Sites

➡️ Три уязвимости в Spring Framework и VMware

➡️ Повышение привилегий в Siemens SINEC INS

🟣 Три уязвимости Use-after-Free в Google Chrome

CVE-2026-10972 / CVSS:4.0 — 9.4 CRITICAL

CVE-2026-10931 / CVSS:4.0 — 9.4 CRITICAL

CVE-2026-10990 / CVSS:4.0 — 9.0 CRITICAL

Об уязвимостях:

В обновлении Google Chrome от 2 июня 2026 года (Stable Channel, версия 149.0.7827.53) устранены три уязвимости типа Use-after-Free, позволяющие атакующему выйти за пределы песочницы веб-браузера и в перспективе скомпрометировать систему. Все три связаны с ошибками управления памятью в различных модулях: Ozone (взаимодействие с оконными подсистемами на Linux), FileSystem (файловые операции внутри браузера) и Glic. Уязвимости классифицируются под CWE-416. Эксплуатация происходит при открытии специально сформированной HTML-страницы, то есть требует взаимодействия пользователя. Уязвимости в Ozone и FileSystem затрагивают преимущественно Linux-сборки Chrome, что особенно значимо для серверных и headless-сценариев (CI/CD, контейнеры).

Как эксплуатируется и последствия:

CVE-2026-10972 (Ozone): Жертва открывает вредоносную HTML-страницу, которая провоцирует Use-after-Free в модуле Ozone. Используя «висячий» указатель на освобождённый объект, атакующий имеет возможность добиться выхода за пределы песочницы и получить доступ к системным ресурсам.

CVE-2026-10931 (FileSystem): Аналогичный Use-after-Free при файловых операциях. После открытия вредоносной страницы освобождённый указатель используется для выполнения кода в контексте рендер-процесса с последующим выходом из песочницы.

CVE-2026-10990 (Glic): Эта уязвимость требует предварительной компрометации рендер-процесса, после чего Use-after-Free в модуле Glic используется для выхода из песочницы. В результате возможна дальнейшая эскалация и компрометация системы.

Рекомендации:

  1. Обновить Google Chrome до версии 149.0.7827.53 или выше; проверить обновления браузеров на базе Chromium (Edge, Opera, Brave, Vivaldi).

  2. Провести аудит использования Chrome в headless-режиме, особенно в CI/CD-конвейерах и контейнерных средах — эти экземпляры также уязвимы.

  3. Настроить политики автоматического обновления для всех пользовательских и серверных систем, где используется Chrome.

🟣 Три уязвимости в Microsoft Exchange и Copilot

CVE-2026-48579 / CVSS:4.0 — 8.7 HIGH

CVE-2026-45583 / CVSS:4.0 — 7.7 HIGH

CVE-2026-45497 / CVSS:4.0 — 7.7 HIGH

Об уязвимостях:

В июне 2026 года Microsoft раскрыла ряд уязвимостей в серверных и облачных продуктах. CVE-2026-48579 (CWE-285, некорректная авторизация) – утечка информации в Microsoft Exchange Online: неаутентифицированный удалённый атакующий способен получить доступ к конфиденциальным данным. CVE-2026-45583 (CWE-94, внедрение кода) – удалённое выполнение кода в Microsoft Exchange Server; официальный вектор указывает высокую сложность атаки и необходимость взаимодействия пользователя. CVE-2026-45497 (CWE-77, внедрение команд) – RCE в Microsoft 365 Copilot, эксплуатируемое атакующим с низкими привилегиями при высокой сложности атаки и смене контекста (scope change). Важно: обе облачные уязвимости (Exchange Online и Copilot) уже устранены Microsoft на стороне сервиса и не требуют действий со стороны клиента.

Как эксплуатируется и последствия:

CVE-2026-48579: Неаутентифицированный атакующий имеет возможность обойти механизмы проверки прав доступа в Exchange Online и получить доступ к содержимому почтовых ящиков, календарям и другим конфиденциальным данным. Утечка способна нарушить конфиденциальность корпоративной переписки.

CVE-2026-45583: Атакующий формирует специальный запрос с внедрённым кодом к уязвимому Exchange Server. При успешной эксплуатации возможно выполнение кода в контексте сервера с последующим контролем над почтовыми ящиками. Обратите внимание: исправление не входит в стандартный набор обновлений – необходимо следовать отдельным инструкциям Microsoft (KB5094139, SU7).

CVE-2026-45497: Атакующий с легитимным низкоуровневым доступом к Microsoft 365 Copilot вводит вредоносную команду, которая недостаточно фильтруется, что приводит к выполнению кода и выходу за пределы исходных привилегий.

Рекомендации:

  1. Для Exchange Server установить июньские обновления и выполнить отдельные шаги для CVE-2026-45583 согласно бюллетеню MSRC (KB5094139); проверить включение Extended Protection.

  2. Для Exchange Online и Copilot действий по устранению не требуется (исправлено Microsoft); в рамках «defense-in-depth» (глубокая защита) рекомендуется ротация ключей и учётных данных, ревизия избыточных прав пользователей.

  3. Ограничить и аудировать использование Microsoft Copilot в средах, где его функциональность не требуется.

🟣 Использование освобождённой памяти в модуле WebGPU Mozilla Firefox

CVE-2026-12293 / CVSS:4.0 — 9.3 CRITICAL

Об уязвимости:

Уязвимость CVE-2026-12293 классифицируется как Use-after-Free (CWE-416) в компоненте Graphics: WebGPU – API для работы с GPU в веб-браузере. Освобождённый указатель на графический ресурс продолжает использоваться, что позволяет вызвать неопределённое поведение вплоть до выполнения кода в контексте веб-браузера пользователя. Уязвимость устранена в Firefox 152, Firefox ESR 140.12 и 115.37, а также Thunderbird 152 (бюллетени MFSA 2026-57 и 2026-60, 16 июня 2026 года). Mozilla оценивает уязвимость как High. Отметим, что в Thunderbird уязвимость труднее эксплуатировать, так как при чтении почты выполнение кода отключено; основной риск – в браузерном контексте.

Как эксплуатируется и последствия:

Атакующий создаёт веб-страницу либо внедряет вредоносный сценарий на сайт, активно использующий WebGPU. При открытии страницы возникает рассинхронизация между JavaScript- и графическим движком, и указатель на освобождённую память используется повторно, что ведёт к утечке данных или выполнению кода. Последствия могут включать компрометацию сессии пользователя, кражу cookie и токенов, установку вредоносного ПО через браузер.

Рекомендации:

  1. Обновить Firefox и Thunderbird до версии 152 (или Firefox ESR до 140.12 / 115.37).

  2. Отключить поддержку WebGPU в настройках веб-браузера, если она не требуется для текущих задач.

  3. Использовать изолированные профили или безопасный режим при открытии подозрительных сайтов, активно использующих тяжёлые графические API.

🟣 Обход аутентификации и удалённое выполнение кода в Ivanti Sentry

CVE-2026-10520 / CVSS:4.0 — 10.0 CRITICAL

CVE-2026-10523 / CVSS:4.0 — 9.3 CRITICAL

Об уязвимостях:

Ivanti Sentry (ранее MobileIron Sentry) – защищённый мобильный маршрутизатор, обеспечивающий безопасный обмен трафиком между корпоративными системами и мобильными устройствами (в том числе ActiveSync-почтой через Microsoft Exchange). 9 июня 2026 года Ivanti устранила две критические уязвимости, образующие полную цепочку атаки. CVE-2026-10520 – внедрение команд ОС: неаутентифицированный удалённый атакующий выполняет команды с правами root через конечную точку «/mics/api/v2/sentry/mics-config/handleMessage» в классе «ConfigServiceController», доступную без аутентификации. CVE-2026-10523 (CWE-288) – обход процедуры аутентификации, позволяющий тому же атакующему создавать произвольные административные учётные записи. Уязвимости затрагивают версии 10.5.1, 10.6.1, 10.7.0 и ниже, исправлены в R10.5.2, R10.6.2 и R10.7.1. 11 июня 2026 года CVE-2026-10520 добавлена в каталог CISA KEV на основании подтверждённой эксплуатации; по данным «Shadowserver», часть уязвимых экземпляров была скомпрометирована и снабжена бэкдорами в течение ~40 часов после публикации PoC от «watchTowr».

Как эксплуатируется и последствия:

Атакующий отправляет неаутентифицированный HTTP POST-запрос на конечную точку «handleMessage», передавая в параметре «message» внутреннюю команду, которая интерпретируется бэкенд-обработчиком конфигурации и выполняется на уровне ОС с правами суперпользователя (root). В связке с CVE-2026-10523 (создание учётной записи администратора) достигается полный захват устройства. Последствия:

  • Полный контроль над маршрутизатором, включая доступ к учётным данным, сессионным токенам и трафику управляемых мобильных устройств.

  • Использование «Sentry» как точки входа для бокового перемещения во внутреннюю сеть.

  • Компрометация корпоративной почты и коммуникаций всех устройств, проходящих через маршрутизатор.

Рекомендации:

  1. Обновить Ivanti Sentry до R10.5.2, R10.6.2 или R10.7.1 в зависимости от ветки; произвольный доступный из интернета непропатченный экземпляр считать скомпрометированным до проведения расследования.

  2. Проверить наличие неожиданных административных учётных записей и записи в журналах Apache о POST-запросах к конечной точке «handleMessage».

  3. Ограничить доступ к порту управления (8443) – не должен быть доступен из интернета согласно рекомендациям Ivanti.

🟣 Состояние гонки при монтировании в Docker CLI

CVE-2026-42306 / CVSS:4.0 — 5.9 MEDIUM

Об уязвимости:

CVE-2026-42306 – уязвимость типа TOCTOU / состояние гонки (CWE-367) в Docker и Moby. Гонка возникает при настройке монтирования во время операции «docker cp»: вредоносный контейнер способен перенаправить целевой путь bind-монтирования на произвольный путь в файловой системе узла. Уязвимость затрагивает Docker Engine до версии 29.5.1, Docker Daemon версий 28.5.2 и ниже, а также Moby Daemon до 2.0.0-beta.14; исправлена в Docker Engine 29.5.1 и Moby 2.0.0-beta.14. Уязвимость исправлена в связке с двумя родственными (CVE-2026-41567 и CVE-2026-41568).

Как эксплуатируется и последствия:

Атакующий запускает контейнер с логикой, которая в момент инициации «docker cp» пытается перенаправить bind-монтирование. В условиях гонки монтирование может быть перенаправлено на произвольный путь, например к системным файлам или сокету Docker. Это позволяет перезаписать файлы узла или получить доступ к сокету Docker, открывая путь к дальнейшим атакам с правами узла. Последствия включают потерю контроля над системой, повреждение данных и отказ в обслуживании.

Рекомендации:

  1. Обновить Docker Engine до версии 29.5.1 или выше и Moby до 2.0.0-beta.14 или выше.

  2. Запускать контейнеры только из доверенных образов, особенно в средах с привилегированным доступом к файлам узла.

  3. Активировать политики AppArmor или SELinux для ограничения возможностей монтирования и доступа контейнеров к системным ресурсам.

🟣 Некорректная авторизация в обработчике URL-схемы Zoom Workplace

CVE-2026-53407 / CVSS:4.0 — 9.3 CRITICAL

Об уязвимости:

Уязвимость CVE-2026-53407 затрагивает обработчик пользовательских URL-схем в мобильном приложении Zoom Workplace для Android (до 7.0.4) и iOS (до 7.0.3). В реализации отсутствует должная проверка источника запроса при выполнении действий через пользовательские схемы, что позволяет атакующему без аутентификации инициировать действия от имени приложения, включая доступ к защищённым функциям и данным. Уязвимость используется для повышения привилегий, особенно при интеграции приложения с другими сервисами через deep link. Учитывая широкое применение Zoom Workplace в корпоративной и образовательной среде, риски включают утечку конфиденциальной информации и компрометацию сессий.

Как эксплуатируется и последствия:

Атакующий создаёт вредоносную веб-страницу или письмо со ссылкой, использующей URL-схему, зарегистрированную приложением Zoom. Открыв ссылку, пользователь запускает обработчик в приложении, которое выполняет действие без проверки источника. Это способно предоставить доступ к защищённым функциям – локальным файлам, токенам сессии, инициированию звонков. Последствия включают повышение привилегий до уровня приложения и дальнейшие атаки, включая утечку данных и манипуляции с коммуникациями.

Рекомендации:

  1. Обновить приложение Zoom Workplace до версии 7.0.4 (Android) и 7.0.3 (iOS).

  2. Не открывать подозрительные ссылки в сообщениях, особенно содержащие пользовательские URL-схемы; провести обучение пользователей.

  3. Настроить политики на мобильных устройствах, ограничивающие запуск действий через deep link без явного подтверждения.

🟣 Три уязвимости инъекции команд в QNAP NAS (QTS / QuTS hero)

CVE-2025-66273 / CVSS:4.0 — 8.6 HIGH

CVE-2025-66279 / CVSS:4.0 — 8.6 HIGH

CVE-2026-22893 / CVSS:4.0 — 8.6 HIGH

Об уязвимостях:

В бюллетене QSA-26-10 QNAP устранила три уязвимости внедрения команд (CWE-78) в QTS, QuTS hero, QuTS cloud и QVP. Все три позволяют аутентифицированному администратору выполнить произвольные системные команды. CVE-2025-66273 реализуется через параметр «username», CVE-2025-66279 – через API удаления пользователей, а CVE-2026-22893 отличается тем, что позволяет выполнить команды с повышенными привилегиями. Затронуты QTS 5.2.7, QuTS hero h5.2.8, QuTS cloud c5.2.8, QVP 2.7.1. Уязвимости особенно опасны для NAS, доступных из внешней сети, при отсутствии двухфакторной аутентификации на учётных записях администратора.

Как эксплуатируется и последствия:

CVE-2025-66273: Потенциальный злоумышленник с правами администратора через специально сформированный ввод в параметре «username» вызывает выполнение произвольных команд, получая полный контроль над NAS, доступ к данным и возможность установки вредоносного ПО.

CVE-2025-66279: Аналогичный механизм, но через API удаления пользователей – другой модуль системы. Последствия – полная компрометация устройства.

CVE-2026-22893: Внедрение команд с повышенными привилегиями через веб-интерфейс управления. Последствия включают выполнение кода с высокими правами, удалённый доступ, кражу данных и уничтожение конфигурации.

Рекомендации:

  1. Обновить ОС QNAP до исправленных версий (QTS 5.2.9.3410/5.2.9.3499 и выше, соответствующие сборки QuTS hero и QuTS cloud) согласно бюллетеню QSA-26-10.

  2. Ограничить доступ к административному интерфейсу NAS доверенными IP-адресами и включить двухфакторную аутентификацию для привилегированных учётных записей.

  3. Провести аудит всех NAS-устройств: версии ПО и наличие неиспользуемых учётных записей администратора.

🟣 Повышение привилегий в Oracle WebCenter Sites

CVE-2026-35295 / CVSS:4.0 — 7.7 HIGH

Об уязвимости:

Уязвимость в компоненте «WebCenter Sites» продукта Oracle Fusion Middleware связана с недостаточным контролем доступа при обработке сетевых запросов. Согласно описанию, атакующий с минимальными привилегиями и сетевым доступом по HTTP способен выполнить действия за пределами своих разрешений, вплоть до захвата системы «WebCenter Sites», доступа к конфиденциальным данным, изменения содержимого и нарушения доступности. Уязвимые версии: Oracle WebCenter Sites 12.2.1.4.0 и 14.1.2.0.0.

Как эксплуатируется и последствия:

Атакующий отправляет специально сформированный HTTP-запрос на уязвимую конечную точку, которая не проверяет уровень привилегий должным образом. Сервер обрабатывает запрос, игнорируя настройки доступа, и возвращает данные, недоступные пользователю с низкими правами. Последствия:

  • Контроль над сайтами, управляемыми «WebCenter Sites», включая внедрение вредоносного контента.

  • Утечка конфиденциальных данных, включая учётные записи и бизнес-информацию.

  • Нарушение доступности системы вплоть до отказа в обслуживании.

Рекомендации:

  1. Установить июньский Oracle Critical Security Patch Update для затронутых версий WebCenter Sites.

  2. Ограничить доступ к веб-интерфейсу доверенными IP-адресами и использовать дополнительные механизмы аутентификации.

  3. Провести аудит всех экземпляров «WebCenter Sites»: версии и наличие несанкционированных изменений конфигурации.

🟣 Три уязвимости десериализации и инъекции в Spring Framework и экосистеме VMware

CVE-2026-41699 / CVSS:4.0 — 9.2 CRITICAL

CVE-2026-47835 / CVSS:4.0 — 8.7 HIGH

CVE-2026-41855 / CVSS:4.0 — 9.2 CRITICAL

Об уязвимостях:

В июне 2026 года в продуктах на базе Spring Framework и Spring AI (сопровождаемых Broadcom/VMware Tanzu) заявлены три уязвимости. CVE-2026-41699 – небезопасная десериализация в Spring for GraphQL при обработке пагинированных запросов (затронуты версии 1.3.0 – 1.3.8, 1.4.0 – 1.4.5 и 2.0.0 – 2.0.3, исправлено в 1.4.6 и 2.0.4). CVE-2026-47835 – недостаточная проверка входных данных в Spring AI Vector Stores, позволяющая выполнять произвольные запросы в индексах Elasticsearch, OpenSearch и GemFire (затронуты ветки 1.0.x и 1.1.x, исправлено в 1.0.9 и 1.1.8). CVE-2026-41855 – десериализация в JMS-компонентах Spring Framework, позволяющая создать произвольные классы (затронуты версии 5.3.0 – 5.3.48, 6.1.0 – 6.1.27, 6.2.0 – 6.2.18 и 7.0.0 – 7.0.7, исправлено в 6.2.19 и 7.0.8; ветки 5.3.x и 6.1.x сняты с поддержки). Все три связаны с некорректной обработкой пользовательского ввода и способны привести к выполнению кода.

Как эксплуатируется и последствия:

CVE-2026-41699: Вредоносный GraphQL-запрос вызывает десериализацию недоверенных данных; при наличии подходящих вспомогательных классов возможно выполнение кода. Особенно опасно для публичных API без ограничения типов ввода.

CVE-2026-47835: Запрос к конечной точке с Vector Store, содержащей специальные символы в векторах, обходит проверку и позволяет выполнить произвольный запрос в базе векторов, ведя к утечке данных или повреждению индексов.

CVE-2026-41855: При использовании небезопасных JMS-конвертеров (например, MappingJackson2MessageConverter) сообщение с вредоносной сериализованной структурой приводит к десериализации и выполнению кода.

Рекомендации:

  1. Обновить Spring for GraphQL и Spring Framework до исправленных версий согласно бюллетеням Spring.

  2. Проверить зависимости Spring AI (Vector Stores), добавить валидацию входных векторов и ограничить специальные символы.

  3. Перейти на безопасные JMS-конвертеры или настроить белые списки классов для десериализации, особенно при непредсказуемом входном трафике.

🟣 Повышение привилегий в Siemens SINEC INS

CVE-2026-46748 / CVSS:4.0 — 8.7 HIGH

Об уязвимости:

Уязвимость CVE-2026-46748 связана с неправильной настройкой привилегий бинарного файла в составе Siemens SINEC INS – ПО для настройки и диагностики промышленных сетей. Двоичный файл запускается с привилегией «cap_dac_override», позволяющей обходить проверки прав доступа к файловой системе (затронуты все версии до V1.0 SP2 Update 6). Это предоставляет локальному пользователю возможность обойти ограничения доступа к файлам, обычно недоступным без прав суперпользователя (root).

Как эксплуатируется и последствия:

Локальный атакующий с пользовательской учётной записью обращается к уязвимому бинарному файлу. Благодаря «cap_dac_override» он способен читать, записывать и удалять произвольные файлы, включая конфигурационные и системные. Модификация таких файлов, как «/etc/shadow» или «/etc/sudoers», позволяет получить root-доступ. Последствия включают полный контроль над системой, установку вредоносного ПО, сокрытие следов и нарушение целостности промышленных процессов, управляемых через SINEC INS.

Рекомендации:

  1. Обновить SINEC INS до версии V1.0 SP2 Update 6 или выше.

  2. Провести аудит бинарных файлов на наличие избыточных привилегий (в т.ч. cap_dac_override) и снять их, если они не требуются.

  3. Ограничить доступ к системам с SINEC INS доверенными пользователями и применять раздельные учётные записи с минимальными привилегиями.

ссылка на оригинал статьи https://habr.com/ru/articles/1054714/