⚠ Внимание ⚠
Вся информация, представленная ниже, предназначена только для ознакомительных целей. Автор не несет ответственности за вред, который может быть причинен с помощью предоставленной им информации.

Январь 2026-го года подтвердил ключевые тренды в кибербезопасности: опасность атак на цепочки поставок ПО через базовые библиотеки и рост угроз для корпоративной инфраструктуры. В этом обзоре — самые значимые уязвимости, о которых нужно знать каждому специалисту. Подведем вместе итоги первого месяца этого года, поехали!

Навигация по уязвимостям

➡️ Path Traversal в библиотеке Node-Tar
➡️ Неаутентифицированное удаленное выполнение команд в AI-агенте OpenCode
➡️ «Побег из песочницы» в компоненте системы обмена сообщениями Firefox и Thunderbird
➡️ Переполнение буфера в инструменте «untgz» библиотеки zlib
➡️ Удаленное выполнение кода в продуктах Cisco Unified Communications
➡️ Обход процедуры аутентификации в GNU Inetutils «telnetd»
➡️ Обход проверки кодировок в OWASP Core Rule Set (CRS)
➡️ Управление памятью в FreeRDP
➡️ Oracle WebLogic Proxy Plug-in
➡️ Уязвимости в Microsoft
➡️ Несанкционированный доступ к проектам между организациями в Gitea
➡️ Обход контроля доступа в плагине Apache Solr
➡️ Отказ в обслуживании через API GitLab
➡️ Уязвимость WhisperPair в протоколе Google Fast Pair

🟣 Path Traversal в библиотеке Node-Tar

CVE-2026-23745 / CVSS:4.0 — 8.2 HIGH

Об уязвимости:

Обход ограничений пути (Path Traversal) в библиотеке node-tar (версии ≤ 7.5.2), которая используется для работы с TAR-архивами в экосистеме Node.js и npm. Проблема возникает, когда библиотека проверяет основной путь, но не очищает linkpath для символических и прямых ссылок. Учитывая, что node-tar является зависимостью для тысяч приложений, инструментов CI/CD и даже самого пакетного менеджера npm, масштаб потенциального воздействия чрезвычайно широк. Это классический пример риска для цепочки поставок ПО.

Эксплуатация и последствия:

Эксплуатация осуществляется путем создания и передачи жертве вредоносного TAR-архива, содержащего запись ссылки (символической или жесткой) с абсолютным путем в поле linkpath. Когда уязвимое приложение распаковывает такой архив, проверка не срабатывает, и на файловой системе создается ссылка, указывающая за пределы предполагаемой директории распаковки.

Основные последствия:

  • Перезапись произвольных файлов через прямые ссылки, что может привести к компрометации системы (например, изменение файлов конфигурации или добавление SSH-ключей).

  • Создание символических ссылок на конфиденциальные данные, что приводит к их утечке. Типичные векторы атаки включают вредоносные npm-пакеты, функциональность загрузки файлов в веб-приложениях и автоматизированные процессы CI/CD.

Рекомендации:

  1. Обновить библиотеку node-tar до версии 7.5.3 или выше.

  2. Выполнить «npm audit» и «npm list tar» во всех проектах для поиска устаревших версий. После обновления пересобрать «package-lock.json».

  3. Проверить серверы CI/CD, Docker-контейнеры и production-среды на использование уязвимой версии.

  4. При невозможности обновления добавить кастомный обработчик, который будет отклонять записи архива с абсолютными путями в поле «linkpath».

🟣 Неаутентифицированное удаленное выполнение команд в AI-агенте OpenCode

CVE-2026-22812 / CVSS:4.0 — 8.7 HIGH

Об уязвимости:

Нарушение безопасности в открытом AI-агенте для написания кода OpenCode (версии < 1.0.216). Программа при запуске автоматически запускает локальный HTTP-сервер, который не требует аутентификации и имеет политику CORS, разрешающую запросы с любых источников.

Эта комбинация ошибок (CWE-306, CWE-942) позволяет произвольному локальному процессу или веб-странице отправлять на сервер команды, выполняемые с правами пользователя. Сервер предоставляет конечные точки для выполнения команд оболочки, создания интерактивных терминалов и чтения произвольных файлов. Особую опасность добавляет флаг «--mdns», при использовании которого сервер становится доступен для всей локальной сети.

Эксплуатация и последствия:

Пользователь запускает уязвимую версию OpenCode, которая в фоне открывает веб-сервер. Если этот пользователь затем посещает скомпрометированный или специально созданный злоумышленником сайт, код страницы может незаметно отправить команды на локальный сервер OpenCode. Последствия полного контроля над системой:

  • Выполнение произвольного кода: установка вредоносного ПО, криптомайнеров, бэкдоров.

  • Чтение файлов, копирование SSH-ключей, доступ к истории браузера через доступные API сервера.

  • Запуск деструктивных команд, удаление или шифрование данных.

Риск усугубляется низкой сложностью атаки и отсутствием необходимости в каких-либо привилегиях.

Рекомендации:

  1. Обновить OpenCode до версии 1.0.216 или новее, в которой проблема исправлена.

  2. Если обновить невозможно, заблокировать входящие подключения к портам OpenCode (обычно 4096+) с помощью локального межсетевого экрана, ограничив доступ только с localhost.

  3. Рекомендовать пользователям не запускать OpenCode на системах с высокими требованиями к безопасности. В корпоративных средах можно использовать групповые политики или инструменты EDR для обнаружения запуска уязвимых версий.

  4. Не использовать флаг «--mdns», который расширяет поверхность атаки до локальной сети.

🟣 «Побег из песочницы» в компоненте системы обмена сообщениями Firefox и Thunderbird

CVE-2026-0881 / CVSS:4.0 — 10.0 CRITICAL

Об уязвимости:

Эта уязвимость является классическим "побегом из песочницы" (Sandbox Escape), обнаруженным в компоненте Messaging System (система обмена сообщениями) веб-браузера Mozilla Firefox и почтового клиента Mozilla Thunderbird. Она затрагивает все версии Firefox < 147 и Thunderbird < 147.

Обход песочницы позволяет злоумышленнику с помощью вредоносного кода из веб-браузера получить доступ к файловой системе и другим ресурсам ОС с правами пользователя. Широкая распространённость Firefox (~10% рынка) и Thunderbird создает угрозу для миллионов рабочих станций.

Эксплуатация и последствия:

Эксплуатация происходит при посещении пользователем специально созданной вредоносной веб-страницы в Firefox или открытии подготовленного письма в Thunderbird. Код на странице или в письме использует ошибку в компоненте Messaging System для осуществления побега из песочницы. Последствиями успешной атаки являются:

  • Возможность запускать любые программы на компьютере жертвы с правами вошедшего в систему пользователя (RCE).

  • Кража, удаление или шифрование любых пользовательских файлов, установка шпионского ПО или бэкдоров.

  • Выполнение команд, приводящих к отказу в обслуживании (DoS) системы.

Рекомендации:

  1. Обновить Firefox и Thunderbird до версии 147 или новее.

  2. Убедиться, что в настройках веб-браузера и почтового клиента активирована функция автоматической установки обновлений безопасности.

  3. Проинформировать пользователей о важности установки обновлений и рисках перехода по ссылкам из непроверенных источников.

🟣 Переполнение буфера в инструменте «untgz» библиотеки zlib

CVE-2026-22184 / CVSS:4.0 — 9.3 CRITICAL

Об уязвимости:

Переполнение буфера в демонстрационной утилите «untgz», входящей в состав библиотеки сжатия данных zlib версий вплоть до 1.3.1.2. Ошибка кроется в функции «TGZfname()», которая копирует имя архива из аргументов командной строки в статический буфер размером 1024 байта с помощью небезопасной функции «strcpy()» без проверки длины.

Эксплуатация и последствия:

Эксплуатация осуществляется путем выполнения уязвимой утилиты «untgz» с передачей в качестве аргумента командной строки имени архива, длина которого превышает 1024 байта. Атака срабатывает до начала обработки самого архива. Последствиями являются:

  • Отказ в обслуживании (DoS)

  • Выполнение произвольного кода (RCE)

Рекомендации:

  1. Обновить zlib до версии, более новой, чем 1.3.1.2. Многие дистрибутивы (Debian, Ubuntu, SUSE) уже выпустили исправленные пакеты.

  2. Так как «untgz» является демонстрационной утилитой, её можно безопасно удалить из систем, если она не используется.

  3. Использовать сканеры уязвимостей для обнаружения устаревших версий библиотеки в контейнерах и приложениях.

🟣 Удаленное выполнение кода в продуктах Cisco Unified Communications

CVE-2026-20045 / CVSS:4.0 — 8.8 HIGH

Об уязвимости:

Внедрение кода (CWE-94) в веб-интерфейсе управления продуктов Cisco для унифицированных коммуникаций. Проблема вызвана недостаточной проверкой пользовательского ввода в HTTP-запросах. Она затрагивает ключевые продукты корпоративной телефонии и совместной работы: Cisco Unified Communications Manager (Unified CM), его редакции Session Management Edition (SME) и IM & Presence Service, Cisco Unity Connection, а также выделенные инстансы Webex Calling.

Уязвимость активно эксплуатируется и внесена в каталог KEV, что делает её одной из самых опасных в начале года.

Эксплуатация и последствия:

Эксплуатация осуществляется удаленно без аутентификации. Атакующий отправляет последовательность специально сформированных HTTP-запросов к веб-интерфейсу управления уязвимого устройства.

Успешная атака позволяет выполнить произвольные команды на уровне операционной системы, сначала с правами пользователя, а затем эскалировать привилегии до root. Это открывает путь для вмешательства в работу телефонии, кражи данных, установки бэкдоров и дальнейшего продвижения по корпоративной сети.

Рекомендации:

  1. Изолировать интерфейсы управления за межсетевыми экранами, ограничив доступ только доверенным IP-адресам, и не выводить их в интернет.

  2. Настроить мониторинг файлов журналирования на предмет подозрительных HTTP-запросов к интерфейсам управления.

🟣 Обход процедуры аутентификации в GNU Inetutils «telnetd»

CVE-2026-24061 / CVSS:4.0 — 9.3 CRITICAL

Об уязвимости:

Обход аутентификации (CWE-88, Argument Injection) в сервере «telnetd» пакета GNU Inetutils, который оставался незамеченным в коде более 11 лет — с марта 2015 года. Уязвимость затрагивает все версии GNU Inetutils с 1.9.3 по 2.7 включительно. Хотя протокол Telnet считается устаревшим и небезопасным, его использование в промышленных, встраиваемых и legacy-системах все еще велико.

По данным Shodan, более 212 000 устройств в интернете используют сервер Telnet, а Censys фиксирует около 1 миллиона устройств с открытым портом 23. Это создает значительную поверхность для атак. Уже в первые дни после раскрытия уязвимости сервис GreyNoise зафиксировал попытки эксплуатации как минимум с 21 уникального IP-адреса, подтверждая, что угроза является активной и актуальной.

Эксплуатация и последствия:

Эксплуатация тривиальна и может быть выполнена одной строкой команды:

USER='-f root'; telnet -a <адрес_сервера>

Атакующий, подключаясь к уязвимому серверу через Telnet, отправляет значение «-f root» в переменной окружения «USER». Сервер «telnetd», не проводя проверки и очистки этого значения, передает его утилите «/usr/bin/login» в качестве аргумента. Ключ «-f» интерпретируется инструментом «login» как указание пропустить аутентификацию, что немедленно предоставляет злоумышленнику сессию оболочки с правами суперпользователя (root).

Последствия успешной атаки: полный контроль над системой (удаленное выполнение кода), что позволяет украсть данные, установить постоянный доступ, перемещаться по сети и нарушать работу систем.

Рекомендации:

  1. Рассмотреть отказ от использования протокола Telnet в пользу современных зашифрованных альтернатив, таких как SSH.

  2. Обновить пакет GNU Inetutils до версии, превышающей 2.7, в которой уязвимость исправлена. Следует следить за выпуском патчей в вашем дистрибутиве Linux.

  3. До обновления заблокировать доступ к порту Telnet (23/TCP) на сетевом уровне, разрешив подключения только с доверенных административных подсетей. В идеале — полностью отключить службу «telnetd».

🟣 Обход проверки кодировок в OWASP Core Rule Set (CRS)

CVE-2026-21876 / CVSS:4.0 — 9.2 CRITICAL 

Об уязвимости:

Логическая ошибка (CWE-794) в основном наборе правил для межсетевых экранов OWASP Core Rule Set (CRS), который используется такими движками, как ModSecurity и Coraza. Ошибка содержалась в правиле «922110», предназначенном для проверки кодировок символов в заголовках «Content-Type» запросов типа «multipart/form-data».

Обход WAF без аутентификации и с тривиальной эксплуатацией открывает прямой путь для атак на бэкенд. Уязвимость существовала с момента создания правила и затронула все поддерживаемые версии CRS 3.3.x (до 3.3.7) и 4.x (с 4.0.0 по 4.21.0).

Эксплуатация и последствия:

Атакующий формирует HTTP-запрос типа «multipart/form-data», состоящий из нескольких частей. В первой части указывается вредоносная нагрузка (например, UTF-7 XSS) и запрещенная кодировка (charset=utf-7). Последняя часть содержит любые легитимные данные и разрешенную кодировку (charset=utf-8). Уязвимое правило WAF проверяет только кодировку последней части, считая весь запрос безопасным, и пропускает его к уязвимому бэкенд-приложению.

Последствием является успешное проведение атаки, которую WAF должен был заблокировать, что приводит к выполнению JavaScript-кода (XSS) или других атак, зависящих от кодировки.

Рекомендации:

  1. Обновить OWASP CRS до исправленных версий 4.22.0 (для ветки 4.x) или 3.3.8 (для ветки 3.3.x).

  2. Провести анализ журналов WAF за период до установки патча на предмет многосоставных запросов (multipart/form-data) с различными кодировками в разных частях.

  3. Настроить бэкенд-приложения на отклонение запросов с неподдерживаемыми кодировками и внедрите строгую политику безопасности контента (CSP).

  4. Если мгновенное обновление невозможно, настроить веб-сервер на принудительное принятие только кодировки UTF-8 и отклонение других (особенно UTF-7).

🟣 Управление памятью в FreeRDP

CVE-2026-23884 / CVSS:4.0 — 7.7 HIGH

Об уязвимости:

Использование памяти после освобождения (CWE-416, Use-After-Free) в компоненте кэширования внеэ��ранных (offscreen) растровых изображений свободной реализации протокола удаленного рабочего стола FreeRDP.

Проблема возникает, когда после удаления такого изображения указатель «gdi->drawing» продолжает указывать на уже освобожденную область памяти. Уязвимость затрагивает все версии FreeRDP ниже 3.21.0 и присутствует во множестве дистрибутивов Linux, включая SUSE, Red Hat и Debian.

Эксплуатация и последствия:

Эксплуатация возможна только при подключении пользователя клиентом FreeRDP к специально подготовленному вредоносному RDP-серверу. Такой сервер отправляет последовательность пакетов, которая приводит к выполнению уязвимого кода на стороне клиента.

Последствия зависят от состояния памяти и могут варьироваться от отказа в обслуживании (DoS), вызванного аварийным завершением клиента, до потенциального выполнения произвольного кода (RCE) с правами пользователя, запустившего клиентское приложение.

Рекомендации:

  1. Обновить FreeRDP до версии 3.21.0 или новее, в которой ошибка исправлена.

  2. Информировать пользователей об опасности подключения к недостоверным RDP-серверам, особенно по ссылкам из электронной почты или мессенджеров. Использование альтернативных, проверенных клиентов RDP может служить временной мерой.

  3. В корпоративных средах стоит рассмотреть возможность мониторинга исходящих RDP-подключений на предмет соединений с неизвестными или подозрительными адресами.

🟣 Oracle WebLogic Proxy Plug-in

CVE-2026-21962 / CVSS:4.0 — 9.9 CRITICAL

Об уязвимости:

Уязвимость представляет собой нарушение контроля доступа, затрагивающее ключевые прокси-компоненты инфраструктуры Oracle — Oracle HTTP Server (OHS) и WebLogic Server Proxy Plug-in для Apache HTTP Server и Microsoft IIS. Уязвимыми являются версии компонентов 12.2.1.4.0, 14.1.1.0.0 и 14.1.2.0.0.

Технически уязвимость является переполнением cookie (heap-based buffer overflow) в модулях «mod_wl» (Apache) и «iisforward.dll» (IIS), активируемым при обработке специально сформированных заголовков HTTP, содержащих конфликтующие значения «X-WebLogic-KeepAlive» в запросах с кодировкой передачи «chunked». 

Эксплуатация и последствия:

Атака осуществляется удаленно без аутентификации путем отправки специально сформированного HTTP-запроса к уязвимому прокси-серверу (OHS или IIS/Apache с плагином WebLogic). Эксплойт использует ошибку обработки заголовков для инициирования переполнения cookie и последующего выполнения произвольного кода с правами пользователя, под которым работает веб-сервер (часто root или SYSTEM). Последствия успешной атаки следующие:

  • Полный контроль над прокси-сервером (RCE), что позволяет атакующему перехватывать, модифицировать и перенаправлять любой трафик, проходящий через него.

  • Кража конфиденциальных данных (сессий, учетных данных, транзакций, данных AI-моделей) и их модификация или удаление.

Рекомендации:

  1. Обновить Oracle (Critical Patch Update January 2026) для уязвимых версий. Официальный бюллетень и патчи доступны по ссылке.

  2. До применения патча строго ограничить сетевой доступ к уязвимым прокси-серверам с помощью межсетевых экранов, разрешив соединения только из доверенных административных подсетей. 

  3. Проверить файлы журналирования веб-серверов и прокси на предмет аномальных запросов или признаков компрометации. 

🟣 Уязвимости в Microsoft

CVE-2026-21264 / CVSS:4.0 — 9.3 CRITICAL

Об уязвимости:

Уязвимость позволяет неаутентифицированному злоумышленнику выполнить произвольный JavaScript-код в контексте страниц аутентификации Microsoft. Атака происходит на единую точку входа для Microsoft 365, Azure, Xbox и тысяч SaaS-приложений. Несмотря на необходимость взаимодействия с пользователем (переход по ссылке), низкая сложность эксплуатации и универсальность вектора делают эту CVE опасной для корпоративных облачных сред.

Эксплуатация и последствия:

Атакующий создает фишинговую ссылку на уязвимую страницу Microsoft Account с внедренным сценарием. При переходе авторизованного пользователя полезная нагрузка выполняется в его веб-браузере, что приводит к полной компрометации сессии и удостоверения Microsoft.

Последствия: кража токенов и учетных данных, несанкционированный доступ к облачным сервисам (Email, OneDrive, Azure), подмена интерфейса для выманивания данных (спуфинг).

Рекомендации:

  1. Установить обновление безопасности Microsoft.

  2. Обязательное включение многофакторной аутентификации (MFA) для всех пользователей, чтобы минимизировать ущерб от компрометации сессии.

  3. Внедрение строгой политики безопасности контента (CSP) в корпоративной среде.

CVE-2026-21509 / CVSS:4.0 — 8.5 HIGH

Об уязвимости:

Является активно эксплуатируемой уязвимостью, что подтверждается как вендором (Microsoft), так и внесением в каталог CISA (KEV). Проблема заключается в логической ошибке при проверке входных данных в одном из механизмов безопасности OLE. Это делает уязвимость особенно опасной, так как позволяет злоумышленникам обходить базовые защитные меры Office. Уязвимость затрагивает широкий спектр версий, включая Office 2016, 2019, LTSC 2021/2024 и Microsoft 365 Apps для предприятий.

Эксплуатация и последствия:

Эксплуатация требует взаимодействия с локальным пользователем. Злоумышленник отправляет жертве специально созданный файл Office (например, по электронной почте) и убеждает его открыть. В случае успеха происходит обход встроенных защитных механизмов, связанных с COM/OLE, что может привести к удаленному выполнению кода (RCE) и хищению учетных данных через фишинг. Вследствие чего полная компрометация рабочей станции.

Рекомендации:

  1. Установить обновления безопасности от Microsoft.

  2. Если патч нельзя установить, необходимо применить обходное решение через изменение реестра Windows. Точные инструкции опубликованы Microsoft.

▶ Также следует упомянуть о наборе из 16 уязвимостей (CVE-2026-20952, CVE-2026-20944, CVE-2026-20956, CVE-2026-20959, CVE-2026-20955, CVE-2026-20963 и другие) в компонентах популярного офисного пакета Microsoft Office, который включает в себя Word, Excel, SharePoint Server и другие продукты. Эти уязвимости имеют следующие последствия:

  • Удаленное выполнение кода (RCE): атакующий может создавать специально сконфигурированные документы Office (например, .docx, .xlsx). Если жертва откроет такой документ, это может привести к выполнению произвольного вредоносного кода на её компьютере.

  • Обход функций безопасности и подмена (Spoofing): злоумышленник может обойти встроенные механизмы защиты Office или подменить элементы пользовательского интерфейса, чтобы выдать вредоносное содержимое за доверенное и обмануть пользователя.

  • Раскрытие информации: эксплуатация уязвимости может привести к несанкционированному доступу к конфиденциальной информации, хранящейся в системах на базе SharePoint.

Рекомендации:

  1. Установить последние обновления безопасности для Microsoft Office.

  2. Напомнить сотрудникам об осторожности при открытии вложений и документов из непроверенных источников, даже если они выглядят как обычные файлы Microsoft Office.

🟣 Несанкционированный доступ к проектам между организациями в Gitea

CVE-2026-20750 / CVSS:4.0 — 9.3 CRITICAL

Об уязвимости:

Уязвимость позволяет пользователю, имеющему права на запись в проекте одной организации, несанкционированно изменять проекты, принадлежащие другой организации в рамках одного экземпляра Gitea. Это пример нарушения границ логической изоляции (BOLA/Broken Object Level Authorization) в многопользовательской системе.

Уязвимость не связана с доступом к файловой системе или выполнению кода напрямую, но в контексте DevOps и систем управления исходным кодом её последствия приравниваются к компрометации конфиденциальной информации и нарушению целостности. Атака позволяет злонамеренному внутреннему пользователю (или злоумышленнику, получившему доступ к аккаунту с правами) вносить вредоносные изменения в код, конфигурации инфраструктуры или файлы зависимостей других, потенциально критически важных, проектов. 

Эксплуатация и последствия:

Пользователь с правами на запись в проекте Organization A с помощью стандартных API или веб-интерфейса Gitea выполняет операции (например, отправка коммита, изменение файлов) в проекте, принадлежащем Organization B.

Последствия: несанкционированная модификация исходного кода, конфигураций сборки, скриптов развертывания в чужом проекте. Это может привести к внедрению бэкдоров, уязвимостей, сбою сборок, повреждению релизов или хищению интеллектуальной собственности. Угроза актуальна для сценариев внутренних атак или компрометации учетных записей разработчиков.

Рекомендации:

  1. Проверить версию Gitea и обновить её до последней версии.

  2. Провести анализ файлов журналирования Gitea на предмет подозрительных операций модификации между организациями. 

  3. Применять политику минимальных привилегий.

🟣 Обход контроля доступа в плагине Apache Solr

CVE-2026-22022 / CVSS:4.0 — 8.8 HIGH

Об уязвимости:

Уязвимость представляет собой недостаточный контроль доступа (CWE-285) в плагине «RuleBasedAuthorizationPlugin» поисковой платформы Apache Solr версий 5.3.0 - 9.10.0. Проблема позволяет неаутентифицированным удаленным атакующим обходить конфигурации безопасности и получать несанкционированный доступ к определенным чувствительным API Solr.

Эта CVE является угрозой для развертываний, соответствующих набору строгих условий: использование проблемного плагина, конфигурация с несколькими ролями, применение определенных предопределенных правил доступа (например, «security-read», «config-edit»), отсутствие в конфигурации разрешения «all» и прямая сетевая доступность Solr. Это делает её целенаправленной угрозой для корпоративных сред с нестандартными, сложными политиками контроля доступа.

Эксплуатация и последствия:

Атакующий отправляет специально сформированные HTTP-запросы к уязвимому экземпляру Solr, минуя проверки «RuleBasedAuthorizationPlugin».

Последствия: Нарушение конфиденциальности (кража конфигурационных, метаданных, данных через API безопасности) и частично целостности. Возможен доступ к API чтения конфигурации (config-read), схемы (schema-read), метрик (metrics-read) и безопасности (security-read), а также их модификации (config-edit).

Рекомендации:

  1. Обновить Apache Solr до версии 9.10.1 или новее.

  2. Если немедленное обновление невозможно, в конфигурации «security.json» плагина «RuleBasedAuthorizationPlugin» определить разрешение «all» и связать его с привилегированной ролью (например, admin).

  3. Обеспечить доступ к административным интерфейсам Solr только из доверенных сетей.

🟣 Отказ в обслуживании через API GitLab

CVE-2025-13928 / CVSS:4.0 — 8.7 HIGH

Об уязвимости:

Уязвимость представляет собой недостаточную проверку авторизации в API релизов платформы GitLab CE/EE. Она позволяет неаутентифицированному удаленному атакующему отправлять специально сформированные запросы к уязвимой конечной точке, что приводит к исчерпанию ресурсов и отказу в обслуживании (DoS).

Проблема затрагивает широкий диапазон версий GitLab: с 17.7 до версий ранее 18.6.4, с 18.7 до версий ранее 18.7.2 и с 18.8 до версий ранее 18.8.2. Уязвимость была исправлена 21 января 2026 года в рамках пакета обновлений безопасности GitLab, который также включал исправления для обхода двухфакторной аутентификации (CVE-2026-0723) и других DoS-уязвимостей (CVE-2025-13927, CVE-2026-1102). 

Эксплуатация и последствия:

Атакующий отправляет на уязвимый экземпляр GitLab последовательность HTTP-запросов к определенному эндпоинту API, связанному с релизами. Эти запросы используют недостатки логики проверки прав доступа и вызывают непропорционально высокую нагрузку на сервер, приводящую к исчерпанию вычислительных ресурсов.

Последствия: Полная или частичная недоступность сервиса GitLab для всех пользователей, что блокирует разработку, сборки, развертывания и доступ к коду.

Рекомендации:

  1. Обновить GitLab до защищенной версии:

    1. 18.8.x → 18.8.2 или выше.

    2. 18.7.x → 18.7.2 или выше.

    3. 18.6.x и более ранние, начиная с 17.7 → 18.6.4 или выше.

  2. До установки обновления следить за аномальным ростом нагрузки на сервер, особенно связанной с обработкой запросов к API релизов («/api/v4/projects/*/releases).

🟣 Уязвимость WhisperPair в протоколе Google Fast Pair

CVE-2025-36911 / CVSS:4.0 — 7.1 HIGH

Об уязвимости:

Уязвимость WhisperPair — это логическая ошибка в реализации протокола Google Fast Pair, затрагивающая сотни миллионов Bluetooth-аудиоустройств (наушники, гарнитуры, колонки). Проблема кроется в прошивке самих аксессуаров от ведущих производителей (Google, Sony, Jabra, JBL, Xiaomi и другие), которые не проверяют, находится ли устройство в режиме сопряжения, прежде чем принять запрос.

Это позволяет атакующему в радиусе до ~14 метров за ~10 секунд установить сопряжение с устройством без ведома и действий пользователя. Уязвимость ставит под удар не только Android-пользователей, но и владельцев iPhone, использующих такие аксессуары. 

Эксплуатация и последствия:

Атакующий с помощью обычного устройства (смартфон, ноутбук, Raspberry Pi) сканирует Bluetooth-эфир и отправляет запрос на сопряжение по «Fast Pair» уязвимому аудиоустройству. Устройство ошибочно принимает запрос, и атака завершается успешно. Последствия:

  • Подслушивание: активация микрофона устройства для записи разговоров.

  • Отслеживание местоположения: если устройство новое или сброшено, атакующий может привязать его к своему аккаунту Google и отслеживать через сеть Find Hub.

  • Контроль над устройством: воспроизведение звука, отключение функций.

Рекомендации:

  1. Установить обновление от производителя устройства.

  2. Отключать Bluetooth, когда аксессуар не используется.

  3. Периодически проверять и удалять неизвестные подключения в настройках Bluetooth.