Специалисты компании R-Vision опубликовали новый номер дайджеста актуальных уязвимостей за май 2026 года. В течение месяца эксперты обнаружили 20 опасных брешей, из которых пять были отнесены к категории трендовых. Трендовыми признаются наиболее серьезные проблемы безопасности, отличающиеся высоким уровнем риска, подтвержденными случаями эксплуатации и повышенным вниманием злоумышленников. Об этом CNews проинформировали представители R-Vision.
В обзор вошли следующие уязвимости: CVE-2026-0300 – Palo Alto Networks PAN-OS; CVE-2026-42945 – Nginx; CVE-2026-31431 – Linux; CVE-2026-42897 – Microsoft Exchange Server; CVE-2026-41091 – Microsoft Defender.
CVE-2026-0300 | BDU:2026-06322: Уязвимость удаленного выполнения произвольного кода в PAN-OS.
CVSS: 9.8 | Вектор атаки: сетевой
Данная брешь вызвана переполнением буфера в сервисе User-ID™ Authentication Portal (ранее известном как Captive Portal) программного обеспечения Palo Alto Networks PAN-OS. Этот сервис предоставляет веб-страницу для аутентификации, через которую межсетевой экран запрашивает учетные данные пользователя, когда автоматическое сопоставление IP-адреса с идентификатором невозможно.
Неаутентифицированный злоумышленник, имеющий сетевой доступ к Authentication Portal, может отправлять специально сконструированные пакеты, вызывая запись за границы выделенного буфера и добиваясь выполнения произвольного кода с правами root. Участие пользователя при этом не требуется.
Уязвимость затрагивает межсетевые экраны серий PA-Series и VM-Series, работающие под управлением PAN-OS версий 10.2, 11.1, 11.2 и 12.1, при условии активированного Authentication Portal.
Статус эксплуатации уязвимости: компания Palo Alto Networks подтвердила факт ограниченной эксплуатации против устройств, у которых Authentication Portal доступен из сети. Команда Unit 42 отслеживает активность, связанную с эксплуатацией, под идентификатором CL-STA-1132 и характеризует ее как предположительно спонсируемую государством. После успешной атаки злоумышленники внедряют шеллкод в рабочий процесс nginx, очищают журналы и артефакты сбоев, развертывают туннельные утилиты EarthWorm и ReverseSocks5, а также проводят перебор Active Directory с использованием служебной учетной записи межсетевого экрана.
Агентство CISA включило эту уязвимость в каталог KEV.
Рекомендации по устранению: компания Palo Alto Networks выпустила обновление безопасности. Настоятельно рекомендуется как можно быстрее установить актуальное обновление на все затронутые устройства PA-Series и VM-Series.
CVE-2026-42945 | BDU:2026-06827: Уязвимость удаленного выполнения произвольного кода в Nginx
CVSS: 8.1 | Вектор атаки: сетевой
Исследователи из Depthfirst обнаружили в Nginx уязвимость Nginx Rift, которая присутствовала в кодовой базе около 18 лет. Она дает возможность неаутентифицированному удаленному злоумышленнику вызвать отказ в обслуживании (DoS) или выполнить произвольный код (RCE).
Проблема находится в модуле ngx_http_rewrite_module. Когда используются директивы с регулярными выражениями, специально созданные POST-запросы вызывают переполнение кучи (heap overflow). Ошибка возникает из-за неправильного вычисления буфера: на экранирующие символы отводится 3 байта вместо одного, и движок этого не учитывает. Это способно привести к DoS или, при определенных обстоятельствах (к примеру, при отключенном ASLR (рандомизация адресного пространства) или удачном обходе защиты), к RCE.
Текущий статус эксплуатации уязвимости: VulnCheck отметил попытки ее использования в honeypot-сетях. В открытом доступе опубликован рабочий PoC для систем с отключенным ASLR; исследователи также указывают на возможность создания эксплойта, обходящего данную защиту.
CVE-2026-31431 | BDU:2026-06123: Уязвимость повышения привилегий в криптографическом модуле ядра Linux (CopyFail)
CVSS: 7.8 | Вектор атаки: локальный
Уязвимость CopyFail, обнаруженная в апреле 2026 года, затрагивает дистрибутивы Linux, начиная с 2017 года. Логическая ошибка в криптографическом модуле ядра algif_aead позволяет через сокет AF_ALG (доступный любому пользователю) перезаписывать 4 байта в кеше страниц читаемых файлов, изменяя поведение процессов.
Исследователи показали: это дает возможность повысить привилегии до root путем отключения проверки пароля в /usr/bin/su, модифицировать работающие процессы, а в Kubernetes — выполнять код в соседних подах или выходить из контейнера. Изменения вносятся исключительно в кеш ОЗУ, а не в файловую систему, что усложняет обнаружение стандартными средствами защиты. Доступны портативные PoC на Python.
Текущий статус эксплуатации уязвимости: Уязвимость внесена в CISA KEV 1 мая 2026 года. Существуют работающие публичные PoC.
Рекомендации по устранению: Установить последние обновления ядра Linux в соответствии с используемым дистрибутивом либо отключить модуль algif_aead.
CVE-2026-42897 | BDU:2026-06919: Уязвимость к подделке данных на сервере Microsoft Exchange Server
CVSS: 8.1 | Вектор атаки: сетевой
Уязвимость относится к клиентскому межсайтовому скриптингу (XSS) и затрагивает веб-интерфейс Outlook (OWA). Для ее эксплуатации атакующий отправляет жертве специально сформированное письмо. Когда оно открывается в OWA и выполняются определенные условия взаимодействия, в браузере запускается произвольный JavaScript-код. Технические детали реализации вендор не раскрывает.
Успешное использование уязвимости позволяет злоумышленникам похищать cookie-файлы, токены сессий и другие данные браузера, а также совершать действия от имени пользователя в веб-интерфейсе Exchange.
Текущий статус эксплуатации уязвимости: Microsoft подтвердила ее использование в реальных атаках. CISA внесла уязвимость в каталог KEV, рекомендовав установить исправления до 29 мая 2026 года.
Рекомендации по исправлению: На данный момент полноценного обновления от Microsoft не выпущено. В качестве временных решений можно активировать службу Exchange Emergency Mitigation (EM) или применить скрипт Exchange On-premises Mitigation Tool (EOMT). Смягчающие меры не действуют в Internet Explorer и в Edge при работе в режиме совместимости с Internet Explorer. После внедрения смягчающих мер возможны сбои при печати календаря и проблемы с отображением встроенных изображений в OWA.
CVE-2026-41091 | BDU:2026-07110: Уязвимость повышения привилегий в Microsoft Defender
CVSS: 7.8 | Вектор атаки: локальный
Эта уязвимость связана с локальным повышением привилегий в Microsoft Malware Protection Engine — основном компоненте сканирования, на котором базируются Microsoft Defender Antivirus, Microsoft System Center Endpoint Protection (включая версии 2012 и 2012 R2) и Microsoft Security Essentials.
При выполнении операций с файлами компонент неправильно обрабатывает символические ссылки и точки соединения (junction points) до того, как обратится к целевому файлу. Пользователь с минимальными правами на локальной системе может поместить в свою директорию объект-приманку и создать на его пути точку соединения (junction point), ведущую в защищённый системный каталог. Это позволяет перенаправить привилегированную операцию Defender. Поскольку операция выполняется от имени System, результатом эксплуатации становится перезапись или изменение любого защищённого файла, что ведёт к повышению привилегий.
Уязвимы версии движка 1.1.26030.3008 и более ранние. Компонент входит в состав актуальных версий Windows 11 и Windows Server, а также в редакции Windows 10 на расширенной поддержке (LTSC и ESU). Системы, где Microsoft Defender отключён, не подвержены уязвимости.
Статус эксплуатации уязвимости: Microsoft в своём бюллетене безопасности подтвердила, что уязвимость была публично раскрыта и активно использовалась в реальных атаках до выхода исправления. Агентство CISA включило эту уязвимость в каталог KEV, указав на необходимость её устранения до 3 июня 2026 г.
Как защититься? В первую очередь важно своевременно выявлять и обновлять уязвимые системы. Вендоры уже выпустили обновления безопасности, и их применение остаётся главной мерой защиты.
Однако в условиях многосистемной корпоративной ИТ-инфраструктуры с десятками и тысячами устройств оперативное выявление и устранение уязвимостей требует автоматизации. По результатам одного из наших исследований, всё больше компаний стремятся использовать современные решения класса Vulnerability Management, такие как R-Vision VM. Они позволяют не только находить уязвимости (включая те, что активно эксплуатируются), но и учитывать контекст инфраструктуры, правильно расставлять приоритеты и контролировать процесс устранения.
Процесс становится проще и быстрее, если в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без лишних шагов.
Подобная методика позволяет не только оперативно отвечать на возникающие риски, но и формировать надёжную, последовательную систему управления уязвимостями, что приобретает особую значимость в условиях постоянного выявления новых критических уязвимостей.
