Топ самых интересных CVE за май 2026 года

Вот важная новость с фронта ИИ: TomHunter 8 минут назад Топ самых интересных CVE за май 2026 года Средний 12 мин 160 Информационная безопасность * Дайджест ⚠ Внимание ⚠Вся информация, представленная ниже, предназначена только для ознакомительных целей. Автор не несёт ответственности за вред, который может быть причинён с помощью предоставленной им информации. Май 2026 года ознаменовался всплеском критических уязвимостей, затрагивающих как корпоративные, так и потребительские технологии.

Особое внимание привлекли уязвимости в системах сетевой безопасности, веб-платформах и средствах управления мобильными устройствами, что в очередной раз демонстрирует устойчивый интерес злоумышленников к слабым местам в инфраструктуре периметра и цепочке поставок ПО. Подведём вместе итоги пятого месяца этого года, поехали! Навигация по уязвимостям➡️ Три уязвимости в продуктах Microsoft (SSO, Azure AD B2C, Edge)➡️ Использование освобождённой памяти в Google Chrome➡️ Три критические уязвимости в плагинах WordPress➡️ Переполнение буфера в Palo Alto Networks PAN-OS➡️ Обход аутентификации в REST API Cisco Secure Workload➡️ Три уязвимости в ядре Linux➡️ Внедрение SQL-кода в SAP S/4HANA (Enterprise Search for ABAP)➡️ Три уязвимости в Ivanti Endpoint Manager Mobile (EPMM)🟣 Три уязвимости в продуктах Microsoft▶ CVE-2026-41103 / CVSS:4.

Технические детали

3 CRITICAL▶ CVE-2026-33843 / CVSS:4. 3 CRITICAL▶ CVE-2026-45495 / CVSS:4. 7 HIGHОб уязвимостях:Microsoft сообщила о трёх серьёзных уязвимостях в своих продуктах, связанных с аутентификацией и удалённым выполнением кода.

CVE-2026-41103 – это уязвимость в плагине Microsoft SSO для Atlassian Jira и Confluence: ошибка в проверке SAML-утверждений позволяет неаутентифицированному злоумышленнику подделать SSO-ответ и повысить привилегии до администратора. CVE-2026-33843 затрагивает Microsoft Azure Active Directory B2C, где обход аутентификации по альтернативному пути или каналу также приводит к повышению привилегий. Третья уязвимость, CVE-2026-45495, – это удалённое выполнение произвольного кода в Microsoft Edge на базе Chromium.

EPSS-вероятность эксплуатации для первых двух CVE составляет порядка 0. 2%, а для CVE-2026-45495 — около 0. Как эксплуатируется и последствия:CVE-2026-41103: Атакующий отправляет специально сформированный ответ на уязвимый плагин Microsoft SSO сервера Jira или Confluence, подделывая SAML-утверждение, что позволяет обойти проверку аутентификации и получить доступ с правами администратора.

Последствия включают полный контроль над данными проектов, настройками доступа и возможную компрометацию интеграций с Microsoft Entra ID и внешними сервисами. CVE-2026-33843: Злоумышленник использует альтернативный путь аутентификации, не предусмотренный политиками безопасности, чтобы обойти проверку подлинности в Azure AD B2C. Это позволяет получить доступ к учётным записям пользователей, включая внешних клиентов, и использовать их для атак на связанные облачные приложения и API.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.