Уразливість, що впливає на Cisco Catalyst SD-WAN Controller, привернула термінову увагу після підтвердження активної експлуатації з боку Cisco, Rapid7 і CISA. CVE-2026-20182 є критичною помилкою обходу автентифікації в Cisco Catalyst SD-WAN Controller і Cisco Catalyst SD-WAN Manager, що має рейтинг CVSS 10.0 і може дозволити неавтентифікованому віддаленому атакуючому отримати адміністративні привілеї в ураженій системі. Cisco […]
CVE-2026-42897: Недолік підробки OWA на сервері Exchange експлуатується через спеціально створений електронний лист
Microsoft розкрила вразливість, що впливає на локальні версії Exchange Server, яка вже експлуатується активно в дикій природі. Відома як CVE-2026-42897, проблема має оцінку CVSS 8.1 і впливає на Exchange Server 2016, Exchange Server 2019 та Exchange Server Subscription Edition, в той час як Exchange Online не піддається впливу. Microsoft описує її як проблему підробки, вкорінену […]
CVE-2026-42945: 18-річний дефект переписування в NGINX може дозволити неавтентифіковане дистанційне виконання коду
Помилки у веб-інфраструктурі залишаються особливо небезпечними, коли вони знаходяться в широко розгорнутій логіці обробки запитів протягом багатьох років без виявлення. Серед останніх вразливостей, що вражають NGINX Plus і NGINX Open, вразливість CVE-2026-42945 виділяється як старий 18 років переповнення буфера в купі модуля ngx_http_rewrite_module, який може бути досягнутий неавторизованим зловмисником через спеціально сформовані HTTP-запити і може […]
CVE-2026-46300: Вразливість ядра Fragnesia Linux надає root-права через пошкодження кешу сторінок
Локальні помилки підвищення привілеїв залишаються особливо небезпечними, коли вони перетворюють звичайний доступ користувача в негайний доступ до root. Вразливість CVE-2026-46300, під назвою Fragnesia, є високосерйозною помилкою ядра Linux у підсистемі XFRM ESP-in-TCP, яка дозволяє неповноваженому локальному атакуючому записувати довільні байти у кеш-сторінку файлів тільки для читання та підвищувати привілеї. Публічні звіти присвоюють їй рейтинг CVSS […]
CVE-2026-43500 та CVE-2026-43284: Уразливість підвищення привілеїв Dirty Frag в Linux підвищує ризик після скомпрометації
Помилки підвищення привілеїв у системах Linux залишаються особливо небезпечними, коли вони перетворюють обмежений доступ у повний root-доступ. Уразливість CVE-2026-43500 є частиною експлойт-ланцюга Dirty Frag для RxRPC, який, за словами Microsoft, вже пов’язаний з обмеженим застосуванням після компрометації, тоді як Qualys описує його як проблему запису в кеш-сторінку, що може дозволити ненаділеному привілеями локальному користувачу підвищити […]
CVE-2026-23918: Критична уразливість Apache HTTP/2 може викликати DoS та можливий RCE
Apache виправив CVE-2026-23918, критичну уразливість у обробці HTTP/2 в Apache HTTP Server, яку Apache описує як «подвійне звільнення та можливе виконання RCE». Проблема стосується Apache HTTP Server 2.4.66 і була виправлена у версії 2.4.67, яка вийшла 4 травня 2026 року. Уразливість CVE-2026-23918 має важливе значення, оскільки її можна використовувати віддалено і без аутентифікації. Згідно з […]
CVE-2026-0300: Нульовий день у Palo Alto PAN-OS дозволяє виконання RCE з правами root на відкритих міжмережних екранах
Пристрої безпеки на межі залишаються цілями з високою цінністю, особливо коли вразливість може бути використана до того, як патч стане широко доступним. Уразливість CVE-2026-0300 є критичною переповненням буфера в User-ID Authentication Portal, також відомому як Captive Portal, у Palo Alto Networks PAN-OS. Palo Alto оцінює її у 9,3/10, коли портал відкритий для інтернету або інших […]
CVE-2026-41940: Критична помилка обходу автентифікації в cPanel & WHM загрожує захопленням адміністраторського доступу до хостингових серверів
Нововиявлена вразливість CVE-2026-41940 у cPanel & WHM піддала інфраструктуру хостингу, що має доступ до інтернету, терміновій перевірці. Цей недолік має оцінку CVSS 9.8 і може дозволити неавтентифікованому віддаленому зловмиснику обійти автентифікацію та отримати адміністративний доступ, у той час як у консультації cPanel сказано, що проблема стосується програмного забезпечення cPanel, включаючи DNSOnly, у всіх версіях після […]
CVE-2026-28950: Apple усунув помилку в iOS, яка зберігала видалені дані повідомлень
Apple випустила оновлення безпеки, щоб вирішити проблему з Notification Services в iOS та iPadOS, яка могла викликати збереження повідомлень, відзначених для видалення, на пристрої. Виправлення було доставлено в iOS 26.4.2 / iPadOS 26.4.2 та iOS 18.7.8 / iPadOS 18.7.8, де Apple зазначає, що проблема була вирішена через покращене видалення даних. Проблема привернула увагу, оскільки була […]
CVE-2026-40372: Критична уразливість у ASP.NET Core може дозволити зловмисникам отримати права SYSTEM
Microsoft випустила позачергові оновлення для CVE-2026-40372, вразливості підвищення привілеїв ASP.NET Core з високим впливом, пов’язаної з криптографічними API захисту даних платформи. Згідно з публічними повідомленнями, вразливість має оцінку CVSS у 9.1 і може дозволити неавтентифікованому зловмиснику підробити автентифікаційні матеріали і, врешті-решт, отримати привілеї SYSTEM на уражених системах. Ця проблема виділяється не лише своєю суворістю, але […]