Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: D-Link, ChatGPT, Adobe, Apache Tika, Microsoft, Windows, SAP, S/4HANA, Trend Micro, Apex Central, VMware ESXi.
Специалисты по информационной безопасности зафиксировали масштабное применение уязвимости CVE-2026-0625, связанной с возможностью удалённого выполнения команд в устаревших DSL-маршрутизаторах D-Link. Устройства давно сняты с производства, и производитель отказался выпускать патч, несмотря на активную эксплуатацию проблемы злоумышленниками.
Исследователь Цвика Бадо из компании Radware сообщил о серьёзной уязвимости в ChatGPT, получившей название ZombieAgent. Она позволяла получить доступ к чувствительным данным пользователя, включая содержимое Gmail и Google Drive, без каких-либо действий со стороны жертвы. Атака запускалась в фоновом режиме, что создавало высокий уровень риска.
Компания Adobe выпустила январские обновления безопасности, закрыв 25 уязвимостей в 11 продуктах. Среди них — критическая XXE-уязвимость CVE-2025-66516 в модулях Apache Tika, которую можно использовать для удалённого выполнения кода через PDF-документы, содержащие вредоносные XFA-файлы.
Microsoft в рамках первого выпуска обновлений Patch Tuesday за 2026 год закрыла 112 уязвимостей. Одна из них — активно эксплуатируемая проблема CVE-2026-20805, связанная с раскрытием информации в компоненте Desktop Window Manager. Microsoft отнесла её к уязвимостям с важной степенью опасности.
SAP опубликовала 17 новых бюллетеней безопасности в рамках январского обновления 2026 года. Четыре из них устраняют критические уязвимости, в том числе CVE-2026-0501 с рейтингом 9.9 балла CVSS. Речь идёт о SQL-инъекции в системе S/4HANA, которая позволяет атакующему вмешиваться в обработку данных.
Trend Micro представила патчи для трёх уязвимостей в консоли Apex Central, предназначенной для централизованного управления продуктами компании. Проблемы, обнаруженные в августе 2025 года специалистами Tenable, потенциально позволяли удалённое выполнение кода и проведение атак типа «отказ в обслуживании».
Агентство по кибербезопасности США (CISA) сообщило о завершении действия 10 экстренных директив, выданных в 2019–2024 годах. По словам CISA, цели всех директив достигнуты — критические угрозы, направленные против федеральных ведомств, успешно нейтрализованы.
По данным Huntress, китайская хакерская группа разработала эксплойт для трёх уязвимостей в VMware ESXi, которые были исправлены ещё в марте 2025 года, задолго до публичного раскрытия. Уязвимости CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226, объединённые под названием ESXicape, позволяют нарушить изоляцию виртуальных машин и получить контроль над гипервизором.
Оригинал публикации на сайте CISOCLUB: "Обзор уязвимостей за прошедшую неделю (8-14 января)".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.