ФСТЭК России в мессенджере MAX — 1 374 подписчиков, аналитика и статистика

Последние публикации канала «ФСТЭК России»

1. 367 просмотров, 19 июн. 2026 г.

   Уязвимость компонента Jolokia веб-консоли программных продуктов Apache ActiveMQ связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код BDU:2026-08456 CVE-2026-42588 Использование рекомендаций: https://lists.apache.org/thread/ns0zktfo16s9ql2mmtqtlb6p6xcs45xm

2. 323 просмотров, 19 июн. 2026 г.

   Уязвимость компонента HttpObjectDecoder фреймворка для разработки сетевых приложений, серверов и клиентов протоколов Netty связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на целостность защищаемой информации BDU:2026-08452 CVE-2026-50020 Использование рекомендаций: https://github.com/netty/netty/security/advisories/GHSA-hvcg-qmg6-jm4c Компенсирующие меры: - конфигурирование HttpObjectDecoder с принудительным включением параметра strictLineParsing для отклонения управляющих символов, отличных от…

3. 313 просмотров, 19 июн. 2026 г.

   Уязвимость библиотеки XStream сервера автоматизации Jenkins связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить подмену HTTP-запросов, получить несанкционированный доступ к Script Console и выполнить произвольный код или раскрыть защищаемую информацию путем отправки специально сформированного XML-файла BDU:2026-08450 CVE-2026-53435 Использование рекомендаций производителя: https://www.jenkins.io/security/advisory/2026-06-10/#SECURITY-3707

4. 301 просмотров, 19 июн. 2026 г.

   Уязвимость функции tcf_pedit_act() модуля act_pedit ядра операционных систем Linux связана с записью за границами буфера. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании или повысить свои привилегии BDU:2026-08426 CVE-2026-46331 В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года. Использование рекомендаций: Для…

5. 370 просмотров, 19 июн. 2026 г.

   Уязвимость расширения Joomla Content Editor (JCE) системы управления контентом Joomla связана с ошибками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код BDU:2026-08425 CVE-2026-48907 Использование рекомендаций производителя: https://www.joomlacontenteditor.net/support/changelog/editor

6. 396 просмотров, 19 июн. 2026 г.

   Обновление БДУ Обновлены сведения об уязвимостях программного обеспечения Добавлена информация о 53 уязвимостях программного обеспечения Внесены изменения в 157 записей об уязвимостях программного обеспечения

7. 634 просмотров, 17 июн. 2026 г.

   Уязвимость графического пользовательского интерфейса системы выявления и устранения угроз Fortinet FortiSandbox и FortiSandbox Cloud связана с непринятием мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды посредством специально сформированных HTTP-запросов BDU:2026-08316 CVE-2026-25089 Использование рекомендаций производителя: https://fortiguard.fortinet.com/psirt/FG-IR-26-141

8. 486 просмотров, 17 июн. 2026 г.

   Уязвимость кодека Erlpack библиотеки удаленного вызова процедур gRPC для языка программирования Elixir grpc связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код или вызвать отказ в обслуживании BDU:2026-08314 CVE-2026-48853 Использование рекомендаций производителя: https://github.com/elixir-grpc/grpc/security/advisories/GHSA-grp7-v8xh-rj7h

9. 444 просмотров, 17 июн. 2026 г.

   Уязвимость операционных систем Windows связана с возможностью копированя файла unattend.xml и каталога Recovery с файлом ReAgent.xml в корень раздела восстановления в результате недостаточной защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю обойти функцию шифрования данных BitLocker BDU:2026-08267 Использование рекомендаций: Т.к. данная уязвимость опирается на запуск среды восстановления WinRE и подмену файлов в корень раздела восстановления, рекомендуется использовать компенсирующие меры: - использование BitLocker с TPM + PIN-кодом: если BitLocker настроен только…

10. 424 просмотров, 17 июн. 2026 г.

    Уязвимость технологии Kernel TLS (KTLS) операционных систем FreeBSD связана с ненадлежащим контролем над ресурсом на протяжении всего его жизненного цикла. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии BDU:2026-08252 CVE-2026-45257 Использование рекомендаций производителя: https://www.freebsd.org/security/advisories/FreeBSD-SA-26:26.ktls.asc

11. 489 просмотров, 17 июн. 2026 г.

    Уязвимость компонента Updates Environment Management пакета бизнес-приложений Oracle PeopleSoft Enterprise PeopleTools связана с отсутствием аутентификации для критичной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код BDU:2026-08250 CVE-2026-35273 Использование рекомендаций: https://www.oracle.com/security-alerts/alert-cve-2026-35273.html Компенсирующие меры: - использование средств межсетевого экранирования уровня веб-приложений (WAF) для сетевого трафика; - ограничение доступа к уязвимому программному обеспечению, используя…

12. 540 просмотров, 17 июн. 2026 г.

    Обновление БДУ Обновлены сведения об уязвимостях программного обеспечения Добавлена информация о 166 уязвимостях программного обеспечения Внесены изменения в 26 записей об уязвимостях программного обеспечения

13. 635 просмотров, 15 июн. 2026 г.

    Уязвимость функций File::prohibitWrappers() и IOFactory::load() PHP-библиотеки PhpSpreadsheet связана с недостатками механизма десериализации при обработке параметра filename. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку или выполнить произвольный код BDU:2026-08159 CVE-2026-34084 Использование рекомендаций производителя: https://github.com/PHPOffice/PhpSpreadsheet/security/advisories/GHSA-q4q6-r8wh-5cgh

14. 496 просмотров, 15 июн. 2026 г.

    Уязвимость функции isInTrustedDirectory() сценария RunDlg.cpp текстового редактора Notepad++ связана c неоднозначным разрешением пути. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код BDU:2026-08136 CVE-2026-52884 Использование рекомендаций: " https://notepad-plus-plus.org/news/v8962-released/ https://github.com/notepad-plus-plus/notepad-plus-plus/commit/ea1508855e9c4528f6198ce9d345f13cb759ebf4 " Компенсирующие меры: Канонизируйте путь, используя функцию PathCanonicalize() или GetFullPathNameW() перед проверкой: bool isInTrustedDirectory(const wchar_t* path)…

15. 526 просмотров, 15 июн. 2026 г.

    Уязвимость функции vgic_its_invalidate_cache() модуля arch/arm64/kvm/vgic/vgic-its.c операционной системы Linux связана с ошибками при обновлении счетчика ссылок. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании BDU:2026-08088 CVE-2026-46316 В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года. Использование рекомендаций: Для…