⚠ Внимание ⚠
Вся информация, представленная ниже, предназначена только для ознакомительных целей. Автор не несет ответственности за вред, который может быть причинен с помощью предоставленной им информации.
В этой подборке представлены самые интересные уязвимости за декабрь 2025 года.
Подведем вместе итоги последнего месяца этого года, поехали!
Навигация по уязвимостям
➡️ React2Shell или критическая уязвимость в компонентах React
➡️ Исправленные уязвимости в устройствах на ОС Android
➡️ Исправленные 0-day уязвимости в Microsoft
➡️ Неисправленная 0-day уязвимость в Gogs
➡️ Критическая уязвимость в компонентах Apache Tika
➡️ Исправленные 0-day уязвимости в Apple
➡️ Критические уязвимости в решениях Fortinet
🟣 React2Shell или критическая уязвимость в компонентах React
▶ CVE-2025-55182
Об уязвимости:
В компонентах React Server Components (RSC) веб-приложений, используемых в веб‑приложениях на базе библиотеки React, версий 19.0.0, 19.1.0, 19.1.1 и 19.2.0, в том числе и в фреймворке Next.js, обнаружена уязвимость, связанная с небезопасной десериализацией.
Опубликована проверка концепции, которая доступна по ссылке.
Эксплуатация:
Уязвимость позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, с помощью специально сформированного POST HTTP-запроса выполнять произвольный код на уязвимом веб-сервере.
Исправление:
Всем пользователям необходимо как можно скорее установить исправленные версии для React - 19.0.1, 19.1.2, 19.2.1, для Next.js - 5.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7.
Оценка уязвимости по шкале CVSS 4.0 — 10.0 баллов.
Подробнее:
CVE-2025-55182
🟣 Исправленные уязвимости в устройствах на ОС Android
▶ CVE-2025-48633
Об уязвимости:
В устройствах на ОС Android версий с 13 по 16 включительно обнаружена уязвимость в компоненте Android Framework, связанная с раскрытием информации.
Эксплуатация:
Уязвимость позволяет злоумышленнику раскрывать конфиденциальную информацию.
Исправление:
Всем пользователям необходимо как можно скорее установить обновление на свои устройства.
Оценка уязвимости по шкале CVSS 4.0 — 6.8 баллов.
Подробнее:
CVE-2025-48633
▶ CVE-2025-48572
Об уязвимости:
В устройствах на ОС Android версий с 13 по 16 включительно обнаружена уязвимость в компоненте Android Framework, позволяющая повысить привилегии.
Эксплуатация:
Уязвимость не требует взаимодействие с пользователем и позволяет злоумышленнику повысить привилегии на устройстве.
Исправление:
Всем пользователям необходимо как можно скорее установить обновление на свои устройства.
Оценка уязвимости по шкале CVSS 4.0 — 8.5 баллов.
Подробнее:
CVE-2025-48572
▶ CVE-2025-48631
Об уязвимости:
В устройствах на ОС Android версий с 13 по 16 включительно обнаружена уязвимость в компоненте Android Framework, связанная с возможность вызвать отказ в обслуживании.
Эксплуатация:
Уязвимость не требует взаимодействие с пользователем и позволяет злоумышленнику вызвать отказ в обслуживании (DoS) на устройствах.
Исправление:
Всем пользователям необходимо как можно скорее установить обновление на свои устройства.
Оценка уязвимости по шкале CVSS 4.0 — 8.7 баллов.
Подробнее:
CVE-2025-48631
🟣 Исправленные 0-day уязвимости в Microsoft
В традиционный Patch Tuesday Microsoft исправила 56 уязвимостей. Всем п��льзователям остается как можно скорее провести обновление своих продуктов до исправленных версий.
▶ CVE-2025-62221
Об уязвимости:
В Windows Cloud Files Mini Filter Driver обнаружена уязвимость use-after-free, связанная с повышением привилегий.
Эксплуатация:
Уязвимость позволяет злоумышленнику, прошедшему проверку подлинности, повысить привилегии до уровня SYSTEM.
Оценка уязвимости по шкале CVSS 4.0 — 8.5 баллов.
Подробнее:
CVE-2025-62221
▶ CVE-2025-62454
Об уязвимости:
В Windows Cloud Files Mini Filter Driver обнаружена уязвимость, связанная с переполнением буфера.
Эксплуатация:
Уязвимость позволяет злоумышленнику, прошедшему проверку подлинности, локально повысить привилегии.
Оценка уязвимости по шкале CVSS 4.0 — 8.5 баллов.
Подробнее:
CVE-2025-62454
▶ CVE-2025-64671
Об уязвимости:
В GitHub Copilot for Jetbrains обнаружена уязвимость, связанная с некорректной нейтрализацией специальных элементов, используемых в командах ОС.
Эксплуатация:
Уязвимость позволяет удаленному злоумышленнику, прошедшему проверку подлинности, локально выполнять произвольный код, использовать ненадежные файлы или MCP сервера для добавления инструкций к командам, которые разрешены в настройках терминала пользователя.
Оценка уязвимости по шкале CVSS 4.0 — 8.5 баллов
Подробнее:
CVE-2025-64671
▶ CVE-2025-54100
Об уязвимости:
В Windows PowerShell 5.1 обнаружена уязвимость, связанная с некорректной нейтрализацией специальных элементов, используемых в командах ОС.
Эксплуатация:
Уязвимость позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, локально выполнять скрипты, встроенные в веб-страницу, при их загрузке с помощью командлета Invoke-WebRequest.
Оценка уязвимости по шкале CVSS 4.0 — 8.5 баллов
Подробнее:
CVE-2025-54100
🟣 Неисправленная 0-day уязвимость в Gogs
▶ CVE-2025-8110
Об уязвимости:
В Git-сервисе Gogs всех версий от 0.13.3 и ниже с открытой регистрацией обнаружена уязвимость, связанная с некорректной обработкой символических ссылок в API PutContents.
Эксплуатация:
Уязвимость позволяет удаленному злоумышленнику, прошедшему проверку подлинности, локально выполнять произвольный код.
Исправление:
Пока исправление этой уязвимости находится в разработке, а пользователям пока рекомендуется немедленно отключить открытую регистрацию.
Оценка уязвимости по шкале CVSS 4.0 — 8.7 баллов.
Подробнее:
CVE-2025-8110
🟣 Критическая уязвимость в компонентах Apache Tika
▶ CVE-2025-66516
Об уязвимости:
В компонентах Apache Tika tika-core версий с 1.13 по 3.2.1 включительно, tika-pdf-module версий с 2.0.0 по 3.2.1 включительно и tika-parsers версий с 1.13 по 1.28.5 включительно на всех платформах обнаружена уязвимость, связанная с возможностью внедрения внешних сущностей XML (XXE).
Эксплуатация:
Уязвимость позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, с помощью специально сформированного PDF-файла получить несанкционированный доступ к конфиденциальным файлам, а при определенных условиях позволяет выполнить произвольный код в системе.
Исправление:
Всем пользователям необходимо как можно скорее установить исправленные версии для пакетов: tika-core и tika-parser-pdf-module версию 3.2.2 и для tika-parsers версию 2.0.0.
Оценка уязвимости по шкале CVSS 4.0 — 10.0 баллов.
Подробнее:
CVE-2025-66516
🟣 Исправленные 0-day уязвимости в Apple
▶ CVE-2025-43529
В продуктах Apple в WebKit, который используется Google Chrome на iOS, а также в других браузерах, обнаружена уязвимость use-after-free.
Затронуты следующие продукты:
iPhone 11 и более поздних версий
iPad Pro 12,9 дюйма (3-е поколение и более поздних версий)
iPad Pro 11 дюймов (1-е поколение и более поздних версий)
iPad Air (3-е поколение и более поздних версий)
iPad (8-е поколение и более поздних версий)
iPad mini (5-е поколение и более поздних версий)
Эксплуатация:
Уязвимость позволяет удаленному злоумышленнику при обработке специально подготовленного веб-контента выполнять произвольный код.
Исправление:
Всем пользователям рекомендуется обновить свои продукты до версий iOS 26.2 и iPadOS 26.2, iOS 18.7.3 и iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 и Safari 26.2.
Оценка уязвимости по шкале CVSS 4.0 — 8.7 баллов.
Подробнее:
CVE-2025-43529
▶ CVE-2025-14174
В браузере Google Chrome до версии 143.0.7499.110 обнаружена уязвимость, связанная с выходом за пределами буфера в ANGLE.
Эксплуатация:
Уязвимость позволяет удаленному злоумышленнику выполнять произвольные операции чтения и записи в памяти браузера с помощью специально созданной HTML-страницы, что может привести к выполнению произвольного кода в системе.
Исправление:
Всем пользователям необходимо как можно скорее провести обновление браузера до версии 143.0.7499.109/.110 для Windows/Mac и 143.0.7499.109 для Linux (подробнее).
Оценка уязвимости по шкале CVSS 4.0 — 8.7 баллов.
Подробнее:
CVE-2025-14174
🟣 Критические уязвимости в решениях Fortinet
▶ CVE-2025-59718
Об уязвимости:
В продуктах Fortinet обнаружена уязвимость, связанная с некорректной проверкой криптографической подписи в SAML-сообщениях. Уязвимость существует только при включенной FortiCloud SSO.
Затронуты следующие версии продуктов:
Fortinet FortiOS с 7.6.0 по 7.6.3
FortiOS с 7.4.0 по 7.4.8
FortiOS с 7.2.0 по 7.2.11
FortiOS с 7.0.0 по 7.0.17
FortiProxy с 7.6.0 по 7.6.3
FortiProxy с 7.4.0 по 7.4.10
FortiProxy с 7.2.0 по 7.2.14
FortiProxy с 7.0.0 по 7.0.21
FortiSwitchManager с 7.2.0 по 7.2.6
FortiSwitchManager с 7.0.0 по 7.0.5
Эксплуатация:
Уязвимость позволяет удаленному злоумышленнику обойти процедуру аутентификации при отправке специально созданного SAML-ответа.
Исправление:
Всем пользователям рекомендуется как можно скорее провести обновление до исправленных версий продуктов Fortinet.
Оценка уязвимости по шкале CVSS 4.0 — 9.3 балла.
Подробнее:
CVE-2025-59718
▶ CVE-2025-59719
Об уязвимости:
В продуктах Fortinet обнаружена уязвимость, связанная с некорректной проверкой криптографической подписи в SAML-сообщениях. Уязвимость существует только при включенной FortiCloud SSO.
Затронуты следующие версии продуктов:
Fortinet FortiWeb 8.0.0
FortiWeb с 7.6.0 по 7.6.4
FortiWeb с 7.4.0 по 7.4.9
Эксплуатация:
Уязвимость позволяет удаленному злоумышленнику обойти процедуру аутентификации SSO при отправке специально сформированного SAML-ответа.
Исправление:
Всем пользователям рекомендуется как можно скорее провести обновление до исправленных версий продуктов Fortinet.
Оценка уязвимости по шкале CVSS 4.0 — 9.3 балла.
Подробнее:
CVE-2025-59719
