Трендовые уязвимости

Трендовыми уязвимостями называются наиболее опасные недостатки безопасности, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. В MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов.

Идентификатор уязвимости
Рейтинг уязвимости
Стала трендовой
Вендор
Уязвимый продукт
Высокий7.8
AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2026-21514

Уязвимость Microsoft Office, связанная с использованием недоверенных входных данных при обеспечении безопасности. Уязвимость позволяет злоумышленнику обойти защитные механизмы OLE в Microsoft 365 и Microsoft Office, предотвращающие эксплуатацию уязвимых элементов управления COM/OLE. Для эксплуатации уязвимости злоумышленнику необходимо отправить пользователю специально сформированный файл Microsoft Office и убедить жертву открыть его, что может быть использовано при проведении фишинговых атак. Зафиксированы случаи использования уязвимости в реальных атаках.

Вендор:MicrosoftУязвимый продукт:Microsoft Office 2021, Microsoft Office 2024, Microsoft 365CVE ID:CVE-2026-21514Стала трендовой:13 февраля 2026
Без рейтинга

CVE-2026-21510

Уязвимость в Windows Shell, связанная с некорректной работой защитных механизмов. Эксплуатация уязвимости позволяет злоумышленнику обойти защиту SmartScreen и выполнить произвольный код в системе. Для успешной эксплуатации атакующему необходимо убедить пользователя открыть специально сформированный файл-ярлык (.lnk) или перейти по вредоносной ссылке, что может быть использовано при проведении фишинговых атак. Зафиксированы случаи использования уязвимости в реальных атаках.

Вендор:MicrosoftУязвимый продукт:Microsoft Windows, Microsoft Windows ServerCVE ID:CVE-2026-21510Стала трендовой:12 февраля 2026
Без рейтинга

CVE-2026-21519

Уязвимость в диспетчере окон рабочего стола (Desktop Window Manager) операционных систем семейства Windows, связанная со смешением типов. Эксплуатация уязвимости позволяет авторизованному злоумышленнику повысить свои привилегии до увроня SYSTEM. Зафиксированы случаи использования уязвимости в реальных атаках.

Вендор:MicrosoftУязвимый продукт:Windows 10, Windows 11, Windows Server 2016, Windows Server 2025CVE ID:CVE-2026-21519Стала трендовой:11 февраля 2026
Без рейтинга

CVE-2026-21533

Уязвимость в службах удаленного рабочего стола (Remote Desktop) операционных систем семейства Windows, связанная с некорректным управлением привилегиями. Эксплуатация уязвимости позволяет авторизованному злоумышленнику повысить свои привилегии до уровня SYSTEM. Зафиксированы случаи использования уязвимости в реальных атаках.

Вендор:MicrosoftУязвимый продукт:Windows 10, Windows 11, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2012 R2, Windows Server 2025CVE ID:CVE-2026-21533Стала трендовой:11 февраля 2026
Без рейтинга

CVE-2026-21509

Уязвимость в Microsoft 365 и Microsoft Office, связанная с обходом защиты OLE (Object Linking and Embedding). Эксплуатация уязвимости позволяет злоумышленнику, убедившему пользователя открыть специально сформированный документ, удаленно выполнить произвольный код в системе. Зафиксированы случаи использования уязвимости в реальных атаках.

Вендор:MicrosoftУязвимый продукт:Microsoft OfficeCVE ID:CVE-2026-21509Стала трендовой:27 января 2026
Без рейтинга

CVE-2026-20805

Уязвимость в диспетчере окон рабочего стола (Desktop Window Manager) операционных систем семейства Windows. Эксплуатация уязвимости позволяет злоумышленнику получить адрес раздела удаленного порта ALPC из памяти пользовательского режима, что может привести к раскрытию чувствительной информации (например, токенов и паролей). Зафиксированы случаи использования уязвимости в реальных атаках.

Вендор:MicrosoftУязвимый продукт:Windows, Windows ServerCVE ID:CVE-2026-20805Стала трендовой:14 января 2026
Высокий7.5
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2025-14847

Уязвимость в MongoDB, связанная с некорректной обработкой размера сжатых данных с помощью zlib. Эксплуатация уязвимости позволяет злоумышленнику, не прошедшему аутентификацию, получить доступ к чувствительным данным. Для уязвимости существует общедоступный эксплойт. Зафиксированы случаи использования уязвимости в реальных атаках.

Вендор:MongoDBУязвимый продукт:MongoDBCVE ID:CVE-2025-14847Стала трендовой:29 декабря 2025
Без рейтинга

CVE-2025-62221

Уязвимость, связанная с повышением привилегий, обнаружена в драйвере мини-фильтра cldflt.sys предустановленного клиента облачного сервиса Microsoft OneDrive. Эксплуатация данной уязвимости позволяет злоумышленнику повысить уровень своих привилегий до системных (SYSTEM). Зафиксированы случаи использования данной уязвимости в реальных атаках.

Вендор:MicrosoftУязвимый продукт:Windows, Windows ServerCVE ID:CVE-2025-62221Стала трендовой:10 декабря 2025
Критический10
AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CVE-2025-55182

Уязвимость, связанная с десериализацией недоверенных данных, обнаружена в серверных функциях (Server Functions) в React Server Components. Данная уязвимость позволяет злоумышленнику, не прошедшему аутентификацию и действующему удаленно, выполнить код на сервере с помощью специально сформированного HTTP-запроса. Для уязвимости существует общедоступный (в открытом доступе) эксплойт. Зафиксированы случаи использования данной уязвимости в реальных атаках.

Вендор:ReactУязвимый продукт:React Server ComponentsCVE ID:CVE-2025-55182Стала трендовой:8 декабря 2025
Критический9.1
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CVE-2025-64459

Уязвимость в Django, связанная с некорректной обработкой словарей в запросах GET и POST. Эксплуатация уязвимости позволяет злоумышленнику, не прошедшему аутентификацию, выполнить произвольный SQL-запрос. Для уязвимости существует общедоступный эксплойт.

Вендор:DjangoУязвимый продукт:DjangoCVE ID:CVE-2025-64459Стала трендовой:18 ноября 2025
  • ...