ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — критическая уязвимость в Flowise, обход AuthZ без кода, привилегий и инструментов, Ninja Forms File Upload: отсутствие проверки расширений ведёт к компрометации, в Adobe Reader активно эксплуатируется 0-day-уязвимость, в ActiveMQ Classic обнаружена RCE-уязвимость, существующая более 10 лет.

Критическая уязвимость в Flowise активно эксплуатируется

Исследователи VulnCheck сообщают об активной эксплуатации критической уязвимости CVE-2025-59528 (CVSS: 10.0) в платформе ИИ Flowise. Уязвимость возникает из-за того, что узел CustomMCP выполняет JavaScript-код из пользовательской конфигурации без какой-либо проверки безопасности. Это даёт злоумышленнику возможность выполнить произвольный код на сервере с полными привилегиями Node.js, что ведёт к компрометации системы, доступу к файлам и утечке данных. Проблема устранена в версии 3.0.6, тем не менее в интернете остаётся более 12 000 уязвимых экземпляров, которые уже сканируются и эксплуатируются. Пользователям рекомендуется обновиться до последней версии.

Обход AuthZ без кода, привилегий и инструментов

В Docker Engine обнаружена уязвимость CVE-2026-34040 (CVSS: 8.8), которая позволяет обойти плагины авторизации (AuthZ) в связи с неполного исправления предыдущей критической уязвимости CVE-2024-41110 (CVSS: 9.9). Злоумышленник может отправить api-запрос с телом размером более 1 МБ, и демон Docker обработает его в обычном режиме, но плагины авторизации (AuthZ) получат пустое тело и, не найдя повода для блокировки, разрешат действие. Это позволяет создать привилегированный контейнер с доступом к файловой системе хоста и извлечь учетные данные AWS, ключи SSH и конфигурации Kubernetes. Задача исправлена в версии Docker Engine 29.3.1, если обновление невозможно — рекомендуется ограничить доступ к api Docker доверенными лицами или запускать Docker в режиме без прав root.

Ninja Forms File Upload: отсутствие проверки расширений ведёт к компрометации

Defiant предупреждает, что в платном дополнении Ninja Forms File Upload для WordPress обнаружена критическая уязвимость CVE-2026-0740 (CVSS: 9.8). Уязвимость даёт возможность неавторизованному злоумышленнику загружать произвольные файлы, в том числе PHP-скрипты, что ведёт к удалённому выполнению кода и полному захвату сайта. Задача вызвана отсутствием проверки типов и расширений файлов, а равным образом уязвимостью к обходу пути, что позволяет переместить вредоносный файл даже в корневой каталог сервера. Уязвимость затрагивает все версии дополнения до 3.3.26 включительно, а полное исправление выпущено в версии 3.3.27. Пользователям настоятельно рекомендуется немедленно обновиться, так как ежедневно фиксируются тысячи попыток эксплуатации.

В Adobe Reader активно эксплуатируется 0-day-уязвимость

В Adobe Reader обнаружена активно эксплуатируемая 0-day-уязвимость CVE-2026-34621 (CVSS: 8.6), которая позволяет злоумышленникам атаковать пользователей через специально созданные PDF-документы без какого-либо взаимодействия, кроме открытия файла. Вредоносный PDF использует привилегированные программный оболочку Acrobat для кражи данных. Сначала он собирает информацию о жертве, а затем адаптивно подбирает метод взлома, обходя защитные механизмы. В итоге атака может привести к удалённому выполнению кода и полному контролю над системой. Вредоносные PDF-файлы маскируются под документы на тему нефтегазовой отрасли и используют обфусцированный JavaScript для сбора данных и загрузки дополнительного вредоносного ПО. Пользователям настоятельно рекомендуется апдейтнуть Adobe Reader до последней версии, а также не открывать PDF-файлы из ненадёжных источников.

В ActiveMQ Classic обнаружена RCE-уязвимость, существующая более 10 лет

В Apache ActiveMQ Classic обнаружена RCE-уязвимость CVE-2026-34197 (CVSS: 8.8), которая оставалась незамеченной более 10 лет и затрагивает все версии до 5.19.4 и от 6.0.0 до 6.2.3. Уязвимость была найдена с помощью ИИ-помощника Claude, который проанализировал взаимодействие независимых компонентов Jolokia, JMX, сетевых коннекторов. Злоумышленник может отправить специальный запрос, чтобы заставить брокера загрузить удаленный Spring XML-файл и выполнить произвольные системные команды. Для эксплуатации требуется аутентификация через Jolokia, однако в версиях 6.0.0 – 6.1.1 она не нужна в связи с отдельной уязвимости CVE-2024-321, которая предоставляет доступ к программный интерфейс без контроля доступа. Разработчик устранил уязвимость в версиях 6.2.3 и 5.19.4, пользователям рекомендуется немедленно обновиться, а равным образом проверять журналы на наличие подозрительных соединений с параметром brokerConfig=xbean:http://.