Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: OpenClaw, WPvivid Backup & Migration, WordPress, iOS, iPadOS, macOS Tahoe, tvOS, watchOS, visionOS, dyld, Windows 11 Notepad.
Специалисты SecurityScorecard выявили более 220 000 экземпляров OpenClaw, доступных напрямую из интернета. Эксперты предупреждают, что ИИ-агенты становятся всё более привлекательной целью для атак, поскольку часто имеют расширенные права доступа и работают с корпоративными данными. При недостаточной защите такие инстансы могут использоваться для кражи информации и дальнейшего проникновения во внутреннюю инфраструктуру.
В плагине WPvivid Backup & Migration для WordPress обнаружена критическая уязвимость, позволяющая загружать произвольные файлы и добиваться удалённого выполнения кода без прохождения аутентификации. Проблема затрагивает свыше 900 000 сайтов и может привести к полному контролю над ресурсом со стороны атакующего.
Apple выпустила обновления для iOS, iPadOS, macOS Tahoe, tvOS, watchOS и visionOS, устранив уязвимость в компоненте dyld. По данным Google Threat Analysis Group, ошибка применялась в целевых атаках против отдельных пользователей, что вынудило компанию оперативно закрыть брешь.
Microsoft устранила уязвимость в «Блокноте» для Windows 11. Недочёт позволял запускать локальные и удалённые файлы через Markdown-ссылки, создавая риск выполнения вредоносного кода при открытии специально подготовленного документа.
Компания SmarterTools подтвердила компрометацию своей инфраструктуры после эксплуатации критической уязвимости в почтовом сервере SmarterMail. Злоумышленники проникли через необновлённую виртуальную машину и получили доступ примерно к 30 серверам.
Исследователи из ETH Zurich и Università della Svizzera italiana представили детальный разбор архитектуры защиты облачных менеджеров паролей. В отчёте описаны сценарии атак, при которых злоумышленник способен получить доступ к содержимому пользовательских хранилищ, изменять данные и даже восстанавливать сохранённые учётные данные.
Компания TrendAI опубликовала аналитический материал о рисках, связанных с так называемыми навыками искусственного интеллекта. В документе говорится, что инструменты, предназначенные для внедрения и масштабирования ИИ-решений в корпоративной среде, способны стать уязвимым звеном инфраструктуры.
Согласно новому прогнозу, 2026 год может установить исторический рекорд по количеству зарегистрированных уязвимостей. Ожидается, что число записей в базе CVE превысит 50 000 за 1 календарный год, что существенно увеличит нагрузку на команды информационной безопасности.
Оригинал публикации на сайте CISOCLUB: "Обзор уязвимостей за прошедшую неделю (12-18 февраля)".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.