В течение одной недели сразу несколько крупных технологических компаний выпустили обновления безопасности, затрагивающие корпоративное ПО и сетевое оборудование. SAP, Microsoft, Adobe и Hewlett Packard Enterprise (HPE) устранили уязвимости, среди которых — инъекции кода, небезопасная десериализация, обход аутентификации и удалённое выполнение произвольного кода. Масштаб проблем довольно серьёзный, и некоторые из обнаруженных брешей получили оценки по шкале CVSS, близкие к максимальным.
SAP закрыла две критических уязвимости. Первая, CVE-2019-17571 с оценкой CVSS 9.8, связана с инъекцией кода в приложении SAP Quotation Management Insurance (FS-QUO). Корень проблемы — использование устаревшего компонента Apache Log4j версии 1.2.17. Через эту брешь неавторизованный атакующий мог удалённо выполнить произвольный код, получив полный доступ к данным системы. Вторая уязвимость, CVE-2026-27685, получила оценку 9.1 и затронула SAP NetWeaver Enterprise Portal Administration. Здесь проблема кроется в недостаточной валидации при десериализации загружаемого контента. По данным компании Onapsis, специализирующейся на безопасности SAP, единственная причина, по которой эта уязвимость не дотянула до CVSS 10, — необходимость высоких привилегий для её эксплуатации.
Microsoft выпустила патчи, закрывающие 84 уязвимости в различных продуктах. Среди них — десятки брешей, связанных с повышением привилегий и удалённым выполнением кода. Компания не раскрыла подробностей по каждой из них в едином пресс-релизе, но объём исправлений говорит сам за себя.
Adobe во вторник объявила о патчах для 80 уязвимостей. Четыре критических бреши были найдены в Adobe Commerce и Magento Open Source — они позволяли повысить привилегии и обойти защитные механизмы. Ещё пять критических уязвимостей обнаружились в Adobe Illustrator, и каждая из них давала возможность выполнить произвольный код. Для компаний, использующих эти продукты в продакшне, задержка с обновлением может обойтись дорого.
Отдельного внимания заслуживает обновление от Hewlett Packard Enterprise для сетевого оборудования Aruba Networking. HPE устранила пять уязвимостей в AOS-CX. Самая опасная из них — CVE-2026-23813 с оценкой CVSS 9.8. Это обход аутентификации в веб-интерфейсе управления. Неаутентифицированный удалённый злоумышленник мог обойти существующие механизмы проверки подлинности и, в худшем случае, сбросить пароль администратора.
Росс Филипек, директор по информационной безопасности компании Corsica Technologies, прокомментировал ситуацию с уязвимостью Aruba достаточно жёстко. По его словам, «эксплуатация даёт атакующим полный контроль над сетевыми устройствами AOS-CX и возможность скомпрометировать целую систему незаметно. Успешная компрометация может привести к нарушению сетевых коммуникаций или подрыву целостности ключевых бизнес-сервисов». Филипек добавил, что это напоминание: уязвимости сетевых устройств ставят организации под серьёзный удар в условиях тотальной цифровой связности.
Общая картина выглядит тревожно не столько из-за количества уязвимостей (хотя суммарно речь идёт о более чем 250 исправлениях от четырёх вендоров), сколько из-за их характера. Уязвимость с использованием устаревшего Log4j в SAP — это фактически эхо событий 2021 года, когда Log4Shell стал одной из самых массово эксплуатируемых брешей в истории. То, что компоненты на базе Log4j 1.x до сих пор встречаются в корпоративных продуктах, говорит о системных проблемах с управлением зависимостями.
Для администраторов и ИБ-специалистов рекомендация одна: применять патчи как можно быстрее. Особенно это касается уязвимостей с оценкой выше 9.0 по CVSS, где эксплуатация возможна удалённо и без авторизации. Откладывать обновление сетевого оборудования Aruba или SAP-систем на «после выходных» — значит оставлять дверь открытой.
Изображение носит иллюстративный характер
SAP закрыла две критических уязвимости. Первая, CVE-2019-17571 с оценкой CVSS 9.8, связана с инъекцией кода в приложении SAP Quotation Management Insurance (FS-QUO). Корень проблемы — использование устаревшего компонента Apache Log4j версии 1.2.17. Через эту брешь неавторизованный атакующий мог удалённо выполнить произвольный код, получив полный доступ к данным системы. Вторая уязвимость, CVE-2026-27685, получила оценку 9.1 и затронула SAP NetWeaver Enterprise Portal Administration. Здесь проблема кроется в недостаточной валидации при десериализации загружаемого контента. По данным компании Onapsis, специализирующейся на безопасности SAP, единственная причина, по которой эта уязвимость не дотянула до CVSS 10, — необходимость высоких привилегий для её эксплуатации.
Microsoft выпустила патчи, закрывающие 84 уязвимости в различных продуктах. Среди них — десятки брешей, связанных с повышением привилегий и удалённым выполнением кода. Компания не раскрыла подробностей по каждой из них в едином пресс-релизе, но объём исправлений говорит сам за себя.
Adobe во вторник объявила о патчах для 80 уязвимостей. Четыре критических бреши были найдены в Adobe Commerce и Magento Open Source — они позволяли повысить привилегии и обойти защитные механизмы. Ещё пять критических уязвимостей обнаружились в Adobe Illustrator, и каждая из них давала возможность выполнить произвольный код. Для компаний, использующих эти продукты в продакшне, задержка с обновлением может обойтись дорого.
Отдельного внимания заслуживает обновление от Hewlett Packard Enterprise для сетевого оборудования Aruba Networking. HPE устранила пять уязвимостей в AOS-CX. Самая опасная из них — CVE-2026-23813 с оценкой CVSS 9.8. Это обход аутентификации в веб-интерфейсе управления. Неаутентифицированный удалённый злоумышленник мог обойти существующие механизмы проверки подлинности и, в худшем случае, сбросить пароль администратора.
Росс Филипек, директор по информационной безопасности компании Corsica Technologies, прокомментировал ситуацию с уязвимостью Aruba достаточно жёстко. По его словам, «эксплуатация даёт атакующим полный контроль над сетевыми устройствами AOS-CX и возможность скомпрометировать целую систему незаметно. Успешная компрометация может привести к нарушению сетевых коммуникаций или подрыву целостности ключевых бизнес-сервисов». Филипек добавил, что это напоминание: уязвимости сетевых устройств ставят организации под серьёзный удар в условиях тотальной цифровой связности.
Общая картина выглядит тревожно не столько из-за количества уязвимостей (хотя суммарно речь идёт о более чем 250 исправлениях от четырёх вендоров), сколько из-за их характера. Уязвимость с использованием устаревшего Log4j в SAP — это фактически эхо событий 2021 года, когда Log4Shell стал одной из самых массово эксплуатируемых брешей в истории. То, что компоненты на базе Log4j 1.x до сих пор встречаются в корпоративных продуктах, говорит о системных проблемах с управлением зависимостями.
Для администраторов и ИБ-специалистов рекомендация одна: применять патчи как можно быстрее. Особенно это касается уязвимостей с оценкой выше 9.0 по CVSS, где эксплуатация возможна удалённо и без авторизации. Откладывать обновление сетевого оборудования Aruba или SAP-систем на «после выходных» — значит оставлять дверь открытой.
