Трендовые уязвимости

Трендовыми уязвимостями называются наиболее опасные недостатки безопасности, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. В MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов.

Идентификатор уязвимости
Рейтинг уязвимости
Стала трендовой
Вендор
Уязвимый продукт
PT story
Без рейтинга

BDU:2025-10115

Уязвимость в TrueConf Server позволяет злоумышленнику осуществить чтение произвольных файлов в системе.

Вендор:TrueConfУязвимый продукт:TrueConf ServerBDU ID:BDU:2025-10115Стала трендовой:28 августа 2025
Без рейтинга

BDU:2025-10116

Уязвимость в TrueConf Server позволяет злоумышленнику внедрить и выполнить произвольные команды ОС.

Вендор:TrueConfУязвимый продукт:TrueConf ServerBDU ID:BDU:2025-10116Стала трендовой:28 августа 2025
Высокий7.8
AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2025-8088

Уязвимость, связанная с выходом за пределы назначенного каталога, в RARLAB WinRAR. Эксплуатация уязвимости позволяет злоумышленнику с помощью специально сформированного пути к файлу внутри архива осуществить выход за пределы назначенного каталога при распаковке файлов (в том числе в системные папки, например в папку «Автозагрузка») и выполнить вредоносный код в контексте текущего пользователя. Зафиксированы случаи использования данной уязвимости в реальных атаках.

Вендор:RARLABУязвимый продукт:WinRARCVE ID:CVE-2025-8088Стала трендовой:11 августа 2025
Высокий7.8
AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2025-6218

Уязвимость, связанная с выходом за пределы назначенного каталога, в RARLAB WinRAR. Эксплуатация уязвимости позволяет злоумышленнику с помощью специально сформированного пути к файлу внутри архива осуществить выход за пределы назначенного каталога при распаковке файлов (в том числе в системные папки, например в папку «Автозагрузка») и выполнить вредоносный код в контексте текущего пользователя. Для уязвимости существует общедоступный (в открытом доступе) эксплойт. Зафиксированы случаи использования данной уязвимости в реальных атаках.

Вендор:RARLABУязвимый продукт:WinRARCVE ID:CVE-2025-6218Стала трендовой:11 августа 2025
Критический9.8

CVE-2025-53770

Уязвимость в Microsoft SharePoint Server, связанная с небезопасной десериализацией данных, позволяет злоумышленникам выполнить код по сети. Эксплуатация данной уязвимости позволяет неавторизованному злоумышленнику, имеющему сетевой доступ к серверу Microsoft SharePoint, загрузить на сервер сериализованный объект .NET для его последующего выполнения. Для уязвимости существует общедоступный (в открытом доступе) эксплойт. Зафиксированы случаи использования данной уязвимости в реальных атаках.

Вендор:MicrosoftУязвимый продукт:SharePoint ServerCVE ID:CVE-2025-53770Стала трендовой:22 июля 2025
Без рейтинга

CVE-2025-48799

Уязвимость в службе обновления операционных систем семейства Windows, связанная с некорректным разрешением ссылки перед доступом к файлу («переход по ссылке»). Эксплуатация уязвимости позволяет авторизованному злоумышленнику получить привилегии SYSTEM на целевой системе.

Вендор:MicrosoftУязвимый продукт:WindowsCVE ID:CVE-2025-48799Стала трендовой:10 июля 2025
Высокий8.8
AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CVE-2025-33073

Уязвимость, связанная с некорректным управлением доступом, существует в SMB-клиенте операционных систем семейства Windows. Успешная эксплуатация данной уязвимости позволяет злоумышленникам, действующим удаленно, получить системные (SYSTEM) привилегии. Для уязвимости существует общедоступный (в открытом доступе) эксплойт.

Вендор:MicrosoftУязвимый продукт:WindowsCVE ID:CVE-2025-33073Стала трендовой:16 июня 2025
Высокий8.8
AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2025-33053

Уязвимость, связанная с внешним управлением именем или путем файла, существует в компоненте WebDAV операционных систем семейства Windows. Эксплуатация данной уязвимости позволяет злоумышленнику, действующему удаленно и не прошедшему аутентификацию, выполнить произвольный код с помощью специально сформированного .url-файла. Зафиксированы случаи использования данной уязвимости в реальных атаках.

Вендор:MicrosoftУязвимый продукт:WindowsCVE ID:CVE-2025-33053Стала трендовой:11 июня 2025
Без рейтинга

CVE-2025-49113

Уязвимость в веб-клиенте Roundcube Webmail связана с отсутствием проверки параметра _from в URL, что может привести к небезопасной десериализации объектов PHP. Эксплуатация данной уязвимости позволяет злоумышленнику, действующему удаленно и прошедшему аутентификацию, выполнить произвольный код на сервере Roundcube Webmail.

Вендор:RoundcubeУязвимый продукт:Roundcube WebmailCVE ID:CVE-2025-49113Стала трендовой:4 июня 2025
Средний6.1
AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CVE-2024-27443

Уязвимость существует в функции CalendarInvite почтового сервера Zimbra Collaboration. Данная уязвимость, связанная с межсайтовым выполнением сценариев (XSS), позволяет злоумышленнику, не прошедшему аутентификацию, выполнить произвольный JavaScript-код в контексте сеанса жертвы с помощью электронного письма, содержащего специально сформированный заголовок календаря с встроенной XSS-нагрузкой. Зафиксированы случаи использования этой уязвимости в реальных атаках.

Вендор:SynacorУязвимый продукт:Zimbra Collaboration SuiteCVE ID:CVE-2024-27443Стала трендовой:29 мая 2025
  • ...