Mozilla выпустила обновление для двух уязвимостей, эксплойт-код для которых уже гуляет в открытом доступе. Первая — CVE-2026-15718, связанная с некорректным указателем в компоненте JavaScript: WebAssembly. Вторая — CVE-2026-15719, проблема изоляции сайтов в модуле DOM: Navigation. В официальном заявлении компании сказано прямо: «Нам известно, что эксплойт-код для этой уязвимости общедоступен, однако мы не располагаем данными об атаках, использующих этот недостаток в реальных условиях». Обе проблемы устранены в Firefox версии 152.0.6, и откладывать обновление здесь смысла нет — публичный код эксплойта означает, что барьер для атакующих минимален.
Google в свежем релизе Chrome закрыл 15 уязвимостей, среди которых две критические — обе типа use-after-free, и обе засели в Ozone. Для тех, кто не в курсе: Ozone — это кроссплатформенный слой абстракции, через который Chrome общается напрямую с дисплейными серверами и оконными системами. Он используется на Linux, ChromeOS и Fuchsia, то есть затрагивает далеко не только десктопных пользователей Windows.
Уязвимости получили идентификаторы CVE-2026-15764 и CVE-2026-15765. Согласно описанию из базы NVD для первой из них, проблема затрагивала Chrome на Linux до версии 150.0.7871.125 и позволяла удалённому злоумышленнику, убедившему пользователя выполнить определённые жесты в интерфейсе, добиться повреждения кучи через специально сформированную HTML-страницу. Звучит замысловато, но суть простая — достаточно заманить жертву на вредоносный сайт и заставить её пару раз кликнуть или провести пальцем по трекпаду не там, где нужно. Для Windows и Mac фикс вышел в версии 150.0.7871.124/.125, для Linux — 150.0.7871.124.
Adobe в этом цикле обновлений отличилась размахом: закрыто сразу 88 уязвимостей по нескольким продуктам, включая критические баги в ColdFusion, Commerce, Experience Manager и Illustrator. Больше всего проблем нашли в ColdFusion — там устранили восемь уязвимостей, и часть из них выглядит откровенно пугающе по баллам CVSS.
Вот что досталось ColdFusion:
В Adobe Commerce и Magento Open Source нашли две критические проблемы. CVE-2026-48356 с оценкой 9.6 связана с уязвимостью загрузки файлов и открывает путь к повышению привилегий. CVE-2026-48358 (9.1 балла) касается некорректного кодирования вывода и может привести к выполнению произвольного кода — классическая история для интернет-магазинов, где через форму загрузки товара или отзыва вдруг оказывается возможным подсунуть вредоносный файл.
Adobe Experience Manager получил патчи для двух критических уязвимостей. CVE-2026-48259 (CVSS 9.6) — это подделка запроса на стороне сервера, SSRF, тоже ведущая к выполнению произвольного кода. CVE-2026-48359, тоже с баллом 9.6, связана с некорректным ограничением ссылок на внешние сущности XML, известная как XXE-атака. Оба сценария давно знакомы специалистам по безопасности веб-приложений, но регулярно всплывают в новых продуктах именно потому, что парсинг XML и обработка внешних запросов — вечные источники проблем.
Отдельная история — VMware Avi Load Balancer от Broadcom. Там устранили критическую уязвимость обхода аутентификации CVE-2026-47865 с почти максимальным баллом CVSS 9.8. Проблема позволяла злоумышленнику с доступом к сети получить доступ к плоскости управления Avi (Avi Control plane) — по сути, к сердцу балансировщика нагрузки. Уязвимость обнаружил и сообщил о ней Филип Ветенс (Filip Waeytens) из Центра кибербезопасности НАТО (NCSC). Учитывая, что речь идёт о балансировщиках нагрузки, которые часто стоят на переднем крае корпоративной инфраструктуры, компрометация такого компонента может дать атакующему контроль над трафиком целой сети.
Ни одна из перечисленных уязвимостей на момент публикации патчей не была отмечена как активно эксплуатируемая в реальных атаках. Но это слабое утешение: продукты Firefox, Chrome, Adobe и VMware традиционно входят в число самых частых целей для злоумышленников, и история показывает — окно между выходом патча и появлением первых атак может исчисляться днями, а иногда и часами. Публичный эксплойт-код для уязвимостей Firefox — лишний повод не откладывать обновление в долгий ящик.
Google в свежем релизе Chrome закрыл 15 уязвимостей, среди которых две критические — обе типа use-after-free, и обе засели в Ozone. Для тех, кто не в курсе: Ozone — это кроссплатформенный слой абстракции, через который Chrome общается напрямую с дисплейными серверами и оконными системами. Он используется на Linux, ChromeOS и Fuchsia, то есть затрагивает далеко не только десктопных пользователей Windows.
Уязвимости получили идентификаторы CVE-2026-15764 и CVE-2026-15765. Согласно описанию из базы NVD для первой из них, проблема затрагивала Chrome на Linux до версии 150.0.7871.125 и позволяла удалённому злоумышленнику, убедившему пользователя выполнить определённые жесты в интерфейсе, добиться повреждения кучи через специально сформированную HTML-страницу. Звучит замысловато, но суть простая — достаточно заманить жертву на вредоносный сайт и заставить её пару раз кликнуть или провести пальцем по трекпаду не там, где нужно. Для Windows и Mac фикс вышел в версии 150.0.7871.124/.125, для Linux — 150.0.7871.124.
Adobe в этом цикле обновлений отличилась размахом: закрыто сразу 88 уязвимостей по нескольким продуктам, включая критические баги в ColdFusion, Commerce, Experience Manager и Illustrator. Больше всего проблем нашли в ColdFusion — там устранили восемь уязвимостей, и часть из них выглядит откровенно пугающе по баллам CVSS.
Вот что досталось ColdFusion:
- []CVE-2026-48318 (CVSS 9.9) — обход пути (path traversal), ведёт к выполнению произвольного кода
[]CVE-2026-48322 (CVSS 9.6) — инъекция кода, тоже выполнение произвольного кода
[]CVE-2026-48284 (CVSS 9.6) — некорректная проверка входных данных, аналогичные последствия
[]CVE-2026-48321 (CVSS 9.3) — неверная авторизация, повышение привилегий
[]CVE-2026-48325 (CVSS 9.3) — отсутствие аутентификации для критической функции, выполнение произвольного кода
[]CVE-2026-48319 (CVSS 9.1) — снова path traversal с тем же результатом
[]CVE-2026-48324 (CVSS 9.1) — SQL-инъекция, выполнение произвольного кода
[]CVE-2026-48327 (CVSS 9.0) — неверная авторизация, выполнение произвольного кода
В Adobe Commerce и Magento Open Source нашли две критические проблемы. CVE-2026-48356 с оценкой 9.6 связана с уязвимостью загрузки файлов и открывает путь к повышению привилегий. CVE-2026-48358 (9.1 балла) касается некорректного кодирования вывода и может привести к выполнению произвольного кода — классическая история для интернет-магазинов, где через форму загрузки товара или отзыва вдруг оказывается возможным подсунуть вредоносный файл.
Adobe Experience Manager получил патчи для двух критических уязвимостей. CVE-2026-48259 (CVSS 9.6) — это подделка запроса на стороне сервера, SSRF, тоже ведущая к выполнению произвольного кода. CVE-2026-48359, тоже с баллом 9.6, связана с некорректным ограничением ссылок на внешние сущности XML, известная как XXE-атака. Оба сценария давно знакомы специалистам по безопасности веб-приложений, но регулярно всплывают в новых продуктах именно потому, что парсинг XML и обработка внешних запросов — вечные источники проблем.
Отдельная история — VMware Avi Load Balancer от Broadcom. Там устранили критическую уязвимость обхода аутентификации CVE-2026-47865 с почти максимальным баллом CVSS 9.8. Проблема позволяла злоумышленнику с доступом к сети получить доступ к плоскости управления Avi (Avi Control plane) — по сути, к сердцу балансировщика нагрузки. Уязвимость обнаружил и сообщил о ней Филип Ветенс (Filip Waeytens) из Центра кибербезопасности НАТО (NCSC). Учитывая, что речь идёт о балансировщиках нагрузки, которые часто стоят на переднем крае корпоративной инфраструктуры, компрометация такого компонента может дать атакующему контроль над трафиком целой сети.
Ни одна из перечисленных уязвимостей на момент публикации патчей не была отмечена как активно эксплуатируемая в реальных атаках. Но это слабое утешение: продукты Firefox, Chrome, Adobe и VMware традиционно входят в число самых частых целей для злоумышленников, и история показывает — окно между выходом патча и появлением первых атак может исчисляться днями, а иногда и часами. Публичный эксплойт-код для уязвимостей Firefox — лишний повод не откладывать обновление в долгий ящик.