ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Компания SAP выпустила обновления безопасности для устранения двух критических уязвимостей, которые могут быть использованы для выполнения произвольного кода на уязвимых системах.

Уязвимости, о которых идет речь, перечислены ниже.

CVE-2019-17571 (оценка CVSS: 9,8) — уязвимость, связанная с внедрением кода в приложение SAP Quotation Management Insurance (FS-QUO)

CVE-2026-27685 (оценка CVSS: 9,1) — уязвимость, связанная с небезопасной десериализацией в SAP NetWeaver Enterprise Portal Administration

«Приложение использует устаревшую версию Apache Log4j 1.2.17, которая уязвима для CVE-2019-17571», — заявила компания Onapsis, занимающаяся вопросами безопасности SAP. «Это позволяет злоумышленнику без привилегий удаленно выполнять произвольный код на сервере, что оказывает серьезное влияние на конфиденциальность, целостность и доступность приложения».

CVE-2026-27685, с другой стороны, возникает из-за отсутствия или недостаточной проверки при десериализации загруженного контента, что может позволить злоумышленнику загрузить недоверенный или вредоносный контент.

«Только тот факт, что злоумышленнику требуются высокие привилегии для успешного использования уязвимости, не позволяет присвоить ей оценку CVSS 10», — добавила Onapsis.

Обнародование информации произошло после того, как Microsoft выпустила патчи для 84 уязвимостей в различных продуктах, включая десятки уязвимостей, связанных с повышением привилегий и удаленным выполнением кода.

Во вторник Adobe также объявила о выпуске патчей для 80 уязвимостей, четыре из которых являются критическими недостатками, влияющими на Adobe Commerce и Magento Open Source, которые могут привести к повышению привилегий и обходу функций безопасности. Кроме того, компания исправила пять критических уязвимостей в Adobe Illustrator, которые могли бы открыть путь для произвольного выполнения кода.

Кроме того, Hewlett Packard Enterprise выпустила исправления для пяти недостатков в Aruba Networking AOS-CX. Наиболее серьезным из этих недостатков является CVE-2026-23813 (оценка CVSS: 9,8), обход аутентификации, влияющий на интерфейс управления.

«В веб-интерфейсе управления коммутаторами AOS-CX была обнаружена уязвимость, которая потенциально может позволить неавторизованному удаленному злоумышленнику обойти существующие средства аутентификации», — заявила HPE. «В некоторых случаях это может привести к сбросу пароля администратора».

«Использование этой уязвимости Aruba потенциально дает злоумышленникам полный контроль над сетевыми устройствами AOS-CX и возможность незаметно скомпрометировать всю систему», — заявил в своем заявлении Росс Филипек, директор по информационной безопасности Corsica Technologies.

«Успешное взломание может привести к нарушению сетевой связи или подрыву целостности ключевых бизнес-сервисов. Эта уязвимость напоминает о том, что в современном гиперподключенном мире уязвимости сетевых устройств становятся все более распространенными. Когда злоумышленники получают привилегированный доступ к этим устройствам, это подвергает организации значительному риску».

Программные исправления от других поставщиков

В течение последних нескольких недель другие поставщики также выпустили обновления безопасности для устранения нескольких уязвимостей, в том числе

HP Enterprise (включая Aruba Networking и Juniper Networks)

Дистрибутивы Linux AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE и Ubuntu

Mozilla Firefox, Firefox ESR и Thunderbird