Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Live Server, Code Runner, Markdown Preview Enhanced, Microsoft Live Preview, Chrome, HackerOne, OpenClaw, VMware Aria Operations, GitHub Codespaces, Copilot, RoundCube Webmail.
Эксперты OX Security выявили критические уязвимости в четырех популярных расширениях для Visual Studio Code — Live Server, Code Runner, Markdown Preview Enhanced и Microsoft Live Preview. Совокупное число установок превышает 125 млн, что делает проблему масштабной.
Google выпустила внеплановое обновление Chrome, устранив 0-day-уязвимость CVE-2026-2441. Компания подтвердила наличие рабочего эксплойта, который уже применялся в атаках.
Платформа HackerOne столкнулась с репутационным кризисом после подозрений исследовательского сообщества в том, что отчёты об уязвимостях могут использоваться для обучения ИИ-моделей.
Аналитики SecurityScorecard обнаружили свыше 220 000 доступных через интернет инстансов OpenClaw. Специалисты предупреждают, что ИИ-агенты становятся привлекательной целью для атак, поскольку часто обладают расширенными правами и интеграцией с внутренними системами.
Broadcom опубликовала обновления безопасности для VMware Aria Operations, устранив несколько уязвимостей, среди которых выделяется CVE-2026-22719 с оценкой 8.1 по CVSS. Уязвимость связана с внедрением команд и может быть использована неаутентифицированным атакующим.
Orca Security сообщила о проблеме в GitHub Codespaces, которая позволяла злоумышленникам перехватывать контроль над репозиториями через внедрение вредоносных инструкций Copilot в обсуждениях issue на GitHub. Атака строилась на пассивной инъекции подсказок, вынуждая Copilot незаметно передавать токен GitHub пользователя.
Компания TeamT5 из Тайваня подтвердила, что уязвимость CVE-2024-7694, недавно добавленная CISA в каталог Known Exploited Vulnerabilities, вероятно использовалась китайскими группировками. Уязвимость позволяла администратору загружать вредоносные файлы и выполнять произвольные команды на сервере.
CISA предупредило об активной эксплуатации двух уязвимостей RoundCube Webmail. Почтовый клиент широко используется в государственных и корпоративных сетях и регулярно становится целью атак вскоре после раскрытия дефектов. Аналогичная ситуация наблюдалась в июне прошлого года с CVE-2025-49113 с оценкой 9.9 по CVSS.
Оригинал публикации на сайте CISOCLUB: "Обзор уязвимостей за прошедшую неделю (19-25 февраля)".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.