Фішинг залишається одним із найефективніших інструментів у арсеналі кіберзлочинців, особливо коли зловмисники використовують довірені ідентичності, скомпрометовані легітимні облікові записи та знайомі онлайн-сервіси для збільшення залучення жертв. Europol зазначає, що фішингові техніки залишаються головним каналом розповсюдження для шкідливого ПЗ, яке краде дані, тоді як останній консультаційний звіт CERT-UA показує, що той самий принцип соціальної інженерії продовжує […]
CVE-2026-9082: Надзвичайно критична вразливість SQL-ін’єкції в ядрі Drupal загрожує сайтам на PostgreSQL
Drupal випустив оновлення безпеки для “дуже критичної” уразливості в Drupal Core, яку можуть експлуатувати анонімні атакуючі на сайтах, що використовують бази даних PostgreSQL. Відстежується як уразливість CVE-2026-9082, проблема знаходиться в API абстракції бази даних Drupal, яке повинно очищати запити перед тим, як вони дійдуть до бекендної бази даних. Drupal оцінює помилку на 20/25 за власною […]
CVE-2026-45585: YellowKey БітЛокер-байпас відкриває зашифровані дані на пристроях Windows
BitLocker призначений для захисту даних у стані спокою навіть тоді, коли пристрій втрачено, викрадено або вимкнено, тому обхід цієї моделі довіри привертає негайну увагу. Уразливість CVE-2026-45585, публічно відома як YellowKey, є помилкою обходу функції безпеки Windows, яка, згідно з заявами Microsoft, дозволяє атакуючому з фізичним доступом обійти захист BitLocker і отримати доступ до зашифрованих даних […]
CVE-2026-20182: Критична вразливість обходу автентифікації в Cisco SD-WAN може надати адміндоступ
Уразливість, що впливає на Cisco Catalyst SD-WAN Controller, привернула термінову увагу після підтвердження активної експлуатації з боку Cisco, Rapid7 і CISA. CVE-2026-20182 є критичною помилкою обходу автентифікації в Cisco Catalyst SD-WAN Controller і Cisco Catalyst SD-WAN Manager, що має рейтинг CVSS 10.0 і може дозволити неавтентифікованому віддаленому атакуючому отримати адміністративні привілеї в ураженій системі. Cisco […]
CVE-2026-42897: Недолік підробки OWA на сервері Exchange експлуатується через спеціально створений електронний лист
Microsoft розкрила вразливість, що впливає на локальні версії Exchange Server, яка вже експлуатується активно в дикій природі. Відома як CVE-2026-42897, проблема має оцінку CVSS 8.1 і впливає на Exchange Server 2016, Exchange Server 2019 та Exchange Server Subscription Edition, в той час як Exchange Online не піддається впливу. Microsoft описує її як проблему підробки, вкорінену […]
CVE-2026-42945: 18-річний дефект переписування в NGINX може дозволити неавтентифіковане дистанційне виконання коду
Помилки у веб-інфраструктурі залишаються особливо небезпечними, коли вони знаходяться в широко розгорнутій логіці обробки запитів протягом багатьох років без виявлення. Серед останніх вразливостей, що вражають NGINX Plus і NGINX Open, вразливість CVE-2026-42945 виділяється як старий 18 років переповнення буфера в купі модуля ngx_http_rewrite_module, який може бути досягнутий неавторизованим зловмисником через спеціально сформовані HTTP-запити і може […]
CVE-2026-46300: Вразливість ядра Fragnesia Linux надає root-права через пошкодження кешу сторінок
Локальні помилки підвищення привілеїв залишаються особливо небезпечними, коли вони перетворюють звичайний доступ користувача в негайний доступ до root. Вразливість CVE-2026-46300, під назвою Fragnesia, є високосерйозною помилкою ядра Linux у підсистемі XFRM ESP-in-TCP, яка дозволяє неповноваженому локальному атакуючому записувати довільні байти у кеш-сторінку файлів тільки для читання та підвищувати привілеї. Публічні звіти присвоюють їй рейтинг CVSS […]
CVE-2026-43500 та CVE-2026-43284: Уразливість підвищення привілеїв Dirty Frag в Linux підвищує ризик після скомпрометації
Помилки підвищення привілеїв у системах Linux залишаються особливо небезпечними, коли вони перетворюють обмежений доступ у повний root-доступ. Уразливість CVE-2026-43500 є частиною експлойт-ланцюга Dirty Frag для RxRPC, який, за словами Microsoft, вже пов’язаний з обмеженим застосуванням після компрометації, тоді як Qualys описує його як проблему запису в кеш-сторінку, що може дозволити ненаділеному привілеями локальному користувачу підвищити […]
CVE-2026-23918: Критична уразливість Apache HTTP/2 може викликати DoS та можливий RCE
Apache виправив CVE-2026-23918, критичну уразливість у обробці HTTP/2 в Apache HTTP Server, яку Apache описує як «подвійне звільнення та можливе виконання RCE». Проблема стосується Apache HTTP Server 2.4.66 і була виправлена у версії 2.4.67, яка вийшла 4 травня 2026 року. Уразливість CVE-2026-23918 має важливе значення, оскільки її можна використовувати віддалено і без аутентифікації. Згідно з […]
CVE-2026-0300: Нульовий день у Palo Alto PAN-OS дозволяє виконання RCE з правами root на відкритих міжмережних екранах
Пристрої безпеки на межі залишаються цілями з високою цінністю, особливо коли вразливість може бути використана до того, як патч стане широко доступним. Уразливість CVE-2026-0300 є критичною переповненням буфера в User-ID Authentication Portal, також відомому як Captive Portal, у Palo Alto Networks PAN-OS. Palo Alto оцінює її у 9,3/10, коли портал відкритий для інтернету або інших […]