ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — критическая уязвимость в Flowise, обход AuthZ без кода, привилегий и инструментов, Ninja Forms File Upload: отсутствие проверки расширений ведёт к компрометации, в Adobe Reader активно эксплуатируется 0-day-уязвимость, в ActiveMQ Classic обнаружена RCE-уязвимость, существующая более 10 лет.

Критическая уязвимость в Flowise активно эксплуатируется

Исследователи VulnCheck сообщают об активной эксплуатации критической уязвимости CVE-2025-59528 (CVSS: 10.0) в платформе ИИ Flowise. Уязвимость возникает из-за того, что узел CustomMCP выполняет JavaScript-код из пользовательской конфигурации без какой-либо проверки безопасности. Это даёт злоумышленнику возможность выполнить произвольный код на сервере с полными привилегиями Node.js, что ведёт к компрометации системы, доступу к файлам и утечке данных. Проблема устранена в версии 3.0.6, однако в интернете остаётся более 12 000 уязвимых экземпляров, которые уже сканируются и эксплуатируются. Пользователям рекомендуется обновиться до последней версии.

Обход AuthZ без кода, привилегий и инструментов

В Docker Engine обнаружена уязвимость CVE-2026-34040 (CVSS: 8.8), которая позволяет обойти плагины авторизации (AuthZ) из-за неполного исправления предыдущей критической уязвимости CVE-2024-41110 (CVSS: 9.9). Злоумышленник может отправить API-запрос с телом размером более 1 МБ, и демон Docker обработает его в обычном режиме, но плагины авторизации (AuthZ) получат пустое тело и, не найдя повода для блокировки, разрешат действие. Это позволяет создать привилегированный контейнер с доступом к файловой системе хоста и извлечь учетные данные AWS, ключи SSH и конфигурации Kubernetes. Проблема исправлена в версии Docker Engine 29.3.1, если обновление невозможно — рекомендуется