По итогам анализа, проведенного экспертами Positive Technologies, мы представляем список уязвимостей, которые отнесли к трендовым. Это самые опасные недостатки безопасности, которые уже активно эксплуатируются злоумышленниками или могут быть использованы ими в ближайшее время. Рекомендуем проверить, устранены ли в вашей компании те трендовые уязвимости, о которых мы писали в предыдущих дайджестах.
Всего в мае мы отнесли к трендовым четыре уязвимости.
Уязвимость среднего уровня опасности PT-2026-32853 (CVE-2026-32201), связанная с некорректной проверкой входных данных, была обнаружена в сервере Microsoft SharePoint. Эксплуатация уязвимости может позволить атакующему удаленно осуществить подмену данных по сети.
Две уязвимости высокого уровня опасности были обнаружены в программе для просмотра PDF-файлов Adobe Acrobat Reader (PT-2026-32093, CVE-2026-34621) и в системе обмена сообщениями Apache ActiveMQ Classic (PT-2026-30805, CVE-2026-34197). Успешная эксплуатация этих уязвимостей позволяет злоумышленнику удаленно выполнить произвольный код.
Мы обращаем особое внимание на еще одну уязвимость высокого уровня опасности PT-2026-34274 (CVE-2026-31431), которая была обнаружена в криптографической подсистеме ядра Linux. Эксплуатация уязвимости может позволить локальному злоумышленнику повысить привилегии до уровня суперпользователя и получить полный контроль над системой.
Подробнее об этих уязвимостях, случаях их эксплуатации и способах устранения читайте в дайджесте.
Уязвимость в продукте Microsoft
Уязвимость, приводящая к подмене данных, в Microsoft SharePoint Server
PT-2026-32853 (CVE-2026-32201), оценка по CVSS — 6,5, средний уровень опасности
Уязвимость обусловлена некорректной проверкой входных данных (CWE-20) и позволяет не аутентифицированному злоумышленнику удаленно подменить данные, передаваемые по сети. Microsoft не раскрывает, как именно эксплуатируется уязвимость, однако эксперты предполагают, что она относится к типу Reflected XSS1 и позволяет внедрять вредоносный JavaScript-код в ответы сервера. В результате он может получить доступ к конфиденциальной информации или изменить ее содержание.
Предположительно, злоумышленник может отправить специально сформированный HTTP-запрос, содержащий вредоносный JavaScript-код, который из-за недостаточной обработки входных данных, выполняется в браузере жертвы в контексте доверенного сайта SharePoint. Это открывает возможности для спуфинг-атак: подмены легитимного контента, несанкционированного просмотра или изменения отображаемой информации.
Признаки эксплуатации: Microsoft предупредила, что уязвимость уже использовалась в реальных атаках. Исследователи из компании Defused предположили, что эксплуатация этой уязвимости могла быть связана с разведывательной кампанией, направленной на серверы Microsoft SharePoint с 1 по 11 апреля 2026 года. 14 апреля 2026 года CVE-2026-32201 была добавлена в каталог CISA KEV.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Количество потенциальных жертв: под угрозой организации, использующие Microsoft SharePoint Server Subscription Edition, Microsoft SharePoint Server 2019 и Microsoft SharePoint Enterprise Server 2016, в особенности те, которые предоставляют внешний доступ к своим серверам Microsoft SharePoint.
Способы устранения, компенсирующие меры: уязвимость была устранена в рамках апрельского «вторника обновлений» Microsoft. Пользователям рекомендуется установить обновления безопасности, которые представлены на официальном сайте Microsoft. В качестве компенсирующей меры ФСТЭК России рекомендует использовать средства межсетевого экранирования, чтобы ограничить возможность удаленного доступа к уязвимым системам.
1 Reflected XSS (Reflected Cross‑Site Scripting, отраженный межсайтовый скриптинг) — атака на веб‑приложение, при которой злоумышленник скрывает вредоносный скрипт в обычной ссылке и отправляет ее жертве, а уязвимый сервер, не проверяя данные, сразу «отражает» этот скрипт обратно в HTML-странице.
Уязвимость в продукте Adobe
Уязвимость, приводящая к удаленному выполнению кода, в Adobe Acrobat Reader
PT-2026-32093 (CVE-2026-34621), оценка по CVSS — 8,6, высокий уровень опасности
Ошибка возникает из-за некорректной обработки JavaScript-объектов (CWE-1321). Для успешной эксплуатации уязвимости, позволяющей злоумышленнику добиться удаленного выполнения произвольного кода, необходимо, чтобы пользователь открыл специально подготовленный PDF-документ. В данном случае, как сообщил основатель проекта EXPMON, вредоносный PDF-файл мог скрытно читать файлы на уязвимой системе, передавать конфиденциальную информацию на сервер злоумышленника, а также загружать дополнительные вредоносные скрипты для дальнейшего развития атаки.
Первоначальная оценка уязвимости (9.6 по шкале CVSS 3.1) была скорректирована до 8.6 после уточнения вектора атаки. Поскольку для успешной эксплуатации злоумышленнику требуется взаимодействие с пользователем, вектор атаки был изменен с сетевого на локальный.
Признаки эксплуатации: Adobe официально подтвердила, что ей известно об использовании CVE-2026-34621 в реальных атаках. Существуют свидетельства того, что эксплуатация уязвимости могла длиться как минимум с ноября 2025 года. Исследователь Gi7w0rm сообщил об обнаружении вредоносных документов с приманками на русском языке, которые были связаны с текущими событиями в нефтегазовой отрасли России. Это может указывать на потенциальное использование уязвимости в целевых атаках на российские организации. Кроме того, CISA включило CVE-2026-34621 в каталог известных эксплуатируемых уязвимостей.
Публично доступные эксплойты: нет в открытом доступе.
Количество потенциальных жертв: уязвимость затрагивает популярные версии Acrobat Reader и Acrobat DC, а также Acrobat 2024. Последствия могут коснуться всех пользователей Windows и macOS, на которых установлены уязвимые версии этих программ.
Способы устранения, компенсирующие меры: Adobe выпустила экстренные обновления безопасности для устранения CVE-2026-34621. Пользователям рекомендуется обновить установленные программы до последних версий. Это можно сделать через встроенный инструмент «Help > Check for Updates», запустив автообновления, или загрузить установщик Acrobat Reader с официального сайта Adobe. До установки обновлений следует с особой осторожностью открывать PDF-файлы, полученные из внешних источников.
Уязвимость в продукте Apache
Уязвимость, приводящая к удаленному выполнению кода, в Apache ActiveMQ Classic
PT-2026-30805 (CVE-2026-34197), оценка по CVSS — 8,8, высокий уровень опасности
Уязвимость обусловлена недостаточной проверкой входных данных (CWE-20) и возможностью неконтролируемой генерации кода (CWE-94), что в совокупности позволяет злоумышленнику внедрить и выполнить произвольные команды на уязвимом сервере Apache ActiveMQ Classic. Как отмечает исследователь из компании Horizon3.ai, который подробно описал процесс эксплуатации уязвимости, проблема возникает из-за того, что система некорректно обрабатывает управляющие команды, передаваемые через HTTP/JSON-мост Jolokia2, который по умолчанию использует порт 8161. Если злоумышленник имеет доступ к этому интерфейсу, он может отправить специальный HTTP-запрос, который заставит сервер загрузить и выполнить вредоносный файл из внешнего источника. Успешная эксплуатация CVE-2026-34197 позволяет злоумышленнику получить полный контроль над сервером, на котором работает уязвимая версия ActiveMQ. Это может привести к краже конфиденциальных данных (например, сообщений, учетных данных или конфигураций), установке вредоносного ПО, а также использованию сервера как точки входа для атак на внутреннюю инфраструктуру.
Для эксплуатации злоумышленнику нужны действительные учетные данные, однако на практике многие администраторы используют стандартные логины и пароли, которые легко подобрать. Кроме того, в версиях ActiveMQ от 6.0.0 до 6.1.1 была обнаружена другая уязвимость (CVE-2024-32114), которая позволяет любому пользователю получить доступ к интерфейсам Jolokia без аутентификации. В этом случае для успешной эксплуатации CVE-2026-34197 злоумышленнику достаточно отправить вредоносный HTTP-запрос на уязвимый сервер ActiveMQ.
Признаки эксплуатации: по данным Fortinet FortiGuard Labs, эксплуатация уязвимости в реальных атаках началась 13 апреля. Уже 16 апреля CISA добавило CVE-2026-34197 в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Количество потенциальных жертв: согласно The Shadowserver Foundation, по состоянию на 13 мая более 7000 серверов Apache ActiveMQ остаются уязвимыми для CVE-2026-34197.
Способы устранения, компенсирующие меры: пользователям рекомендуется установить обновленные версии Apache ActiveMQ 5.19.4 или 6.2.3, в которых уязвимость CVE-2026-34197 была полностью устранена. В качестве дополнительных мер защиты рекомендуется:
- отключить компонент Jolokia, если он не используется;
- ограничить доступ к порту 8161 из внешней сети с помощью правил межсетевого экрана или списков контроля доступа обратного прокси-сервера;
- изменить учетные данные администратора, особенно если используются стандартные логин и пароль (admin: admin);
- ограничить доступ к веб-интерфейсу управления Apache ActiveMQ только внутренней сетью;
- настроить правила межсетевого экрана уровня приложений на обратном прокси-сервере для фильтрации аномальных запросов к Jolokia API;
- мониторить логи addConnector на предмет подозрительной активности.
Кроме того, в открытом доступе опубликованы инструменты, с помощью которых администраторы могут проверить инфраструктуру на наличие уязвимых версий Apache ActiveMQ.
2 Jolokia — HTTP/JSON‑мост для удаленного управления Java‑приложениями, который обеспечивает преобразование данных между разными форматами или протоколами. Он принимает HTTP-запросы с данными в формате JSON, автоматически переводит их во внутренние команды управления приложением, а результаты выполнения возвращает в виде JSON‑ответа.
Уязвимость в ядре Linux
Уязвимость, приводящая к локальному повышению привилегий, в подсистеме криптографического API ядра Linux
PT-2026-34274 (CVE-2026-31431), оценка по CVSS — 7,8, высокий уровень опасности
Уязвимость, получившая название Copy Fail, возникает из-за некорректной обработки страниц кэша3 файловой системы (CWE-669) при использовании сокета AF_ALG4 с компонентом authencesn5. По данным исследователя, обнаружившего эту уязвимость, она позволяет непривилегированному локальному пользователю выполнить контролируемую запись 4 байт в кэш страниц любого доступного только для чтения файла в системе. Используя один Python-скрипт объемом 732 байта, злоумышленник может получить права суперпользователя — максимальный уровень привилегий в системе Linux. Это означает, что атакующий получает неограниченный контроль над системой: он может читать, изменять или удалять любые файлы (включая файл /etc/shadow с хешами паролей, приватные SSH-ключи, конфигурации сервисов и базы данных), устанавливать любые программы, загружать вредоносные модули ядра, отключать средства защиты и создавать скрытые учетные записи для постоянного доступа к системе.
Copy Fail присутствует в ядре Linux с 2017 года (с версии ядра 4.14). Это обновление наложилось на более ранние изменения в компоненте authencesn и сокете AF_ALG, создав уязвимость, которая оставалась незамеченной почти 10 лет. Исследователи подтвердили, что она затрагивает такие дистрибутивы Linux, как Ubuntu, Amazon Linux, RHEL и SUSE. Также уязвимы дистрибутивы, использующие ядро, собранное в период с 2017 года по 1 апреля 2026 года, включая Debian, Arch, Fedora, Rocky, Alma, Oracle Linux и другие. Кроме того, поскольку кэш страниц в Linux является общим ресурсом ядра и одновременно используется всеми процессами системы, включая те, которые находятся за пределами контейнера, эксплуатация Copy Fail может позволить атакующему выйти за пределы контейнера. Это может привести к полной компрометации узла Kubernetes или сервера с контейнерами.
Признаки эксплуатации: CISA добавило CVE-2026-31431 в каталог известных эксплуатируемых уязвимостей.
Публично доступные эксплойты: в открытом доступе опубликован PoC.
Количество потенциальных жертв: по данным платформы Couponsly.in, уязвимость Copy Fail потенциально затрагивает от 3 до 3,5 миллиардов пользователей, использующих разные дистрибутивы Linux.
Способы устранения, компенсирующие меры: администраторам затронутых систем рекомендуется обновить ядро Linux до версии 6.18.22, 6.19.12 или 7.0. Также исследователи рекомендуют отключить модуль algif_aead.
3 Кэш страниц (page cache) — механизм временного сохранения часто используемых данных файловой системы в оперативной памяти для ускорения операций чтения и записи.
4 AF_ALG — семейство сокетов, которые позволяют пользовательским приложениям получать прямой доступ к криптографическим алгоритмам ядра Linux без подключения внешних библиотек.
5 authencesn — компонент криптографического API ядра Linux, который объединяет алгоритм шифрования и механизм проверки целостности, реализуя операцию аутентифицированного шифрования.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости наиболее опасны и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению и защитить инфраструктуру компании. Не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.