ThreatScope by DIAMATIX: Критични уязвимости, активно експлоатирани (02–08 февруари 2026)
В периода 02–08 февруари 2026 екипите по сигурност на DIAMATIX анализираха набор от уязвимости с висока критичност, които ясно подчертават повтарящ се модел в съвременните среди: слоевете за изпълнение, автоматизация и управление остават основна цел, когато границите на доверие се провалят.
Наблюдаваните тази седмица уязвимости обхващат платформи за автоматизация на работни процеси, AI рамки, CMS плъгини, мрежови устройства и компоненти на инфраструктурата за сигурност. Макар засегнатите технологии да са различни, основните рискови фактори остават едни и същи: отдалечено изпълнение на код, ескалация на привилегии, заобикаляне на автентикация и sandbox escape.
По-долу уязвимостите са групирани по засегната област, с контекст защо всяка група има значение в реални среди.
Обобщен преглед
| Засегната област | Тип уязвимост | Потенциално въздействие |
|---|---|---|
| Платформи за автоматизация | Code injection | Отдалечено изпълнение на код |
| Интерфейси за отдалечено управление | Изтичане на токени | Пълен компромис на системи |
| Уеб приложения (CMS) | Ескалация на привилегии | Администраторски контрол |
| Мрежови устройства | OS command injection | Компромис на устройства |
| AI и агентни рамки | Произволен запис на файлове | Компромис на хост |
| JavaScript sandboxing | Sandbox escape | Заобикаляне на изолация |
| Инфраструктура за сигурност | Заобикаляне на автентикация | Неоторизиран админ достъп |
| Endpoint и management софтуер | SQL injection | Неоторизирано изпълнение |
1. Платформи за автоматизация. Code Injection
Платформите за автоматизация на работни процеси продължават да представляват високорискова атакуваема повърхност поради правата си за изпълнение и дълбоката интеграция със системите.
Наблюдавани уязвимости:
-
n8n – Критична code injection уязвимост чрез специално подготвени workflow изрази
CVE-2026-25049 (CVSS 9.4)
Автентикиран потребител с права за създаване или редакция на workflow може да използва специално подготвени изрази, за да предизвика неочаквано изпълнение на системни команди върху хоста, на който работи n8n.
Защо това е важно:
Автоматизационните платформи по дизайн изпълняват логика с високо ниво на доверие. Когато обработката на входни данни е компрометирана, те се превръщат в директен път към изпълнение на код на ниво система.
2. Интерфейси за отдалечено управление. Изтичане на токени и one-click RCE
Неправилното доверие към клиентски параметри продължава да позволява мощни вериги на експлоатация.
Наблюдавани уязвимости:
-
OpenClaw Control UI – Изтичане на gateway токен, водещо до отдалечено изпълнение на код
CVE-2026-25253 (CVSS 8.8)
Control UI се доверява на параметъра gatewayUrl без валидиране и автоматично се свързва при зареждане, изпращайки запазен gateway токен чрез WebSocket. Посещението на специално подготвен линк може да изпрати този токен към сървър на атакуващия, който след това получава достъп до локалния gateway.
Защо това е важно:
Интерфейсите за управление са с висок кредит на доверие. Изтичането на токени в този контекст позволява еднокликово компрометиране, без реална автентикация.
3. Уеб приложения и CMS плъгини. Ескалация на привилегии
CMS системите остават честа цел поради широкото си разпространение и плъгин екосистемите си.
Наблюдавани уязвимости:
-
JAY Login & Register (WordPress плъгин) – Ескалация на привилегии до администратор
CVE-2025-15027 (CVSS 9.8)
Плъгинът позволява на неавтентикирани потребители да променят произволни user meta данни, което води до директна ескалация на привилегии.
Защо това е важно:
Ескалацията на привилегии в CMS среди често води до пълен компромис на сайта, инжектиране на зловреден код и изтичане на данни.
4. Мрежови устройства. OS Command Injection
Мрежовите устройства продължават да бъдат високоефективна цел поради централната си роля и ограничената видимост.
Наблюдавани уязвимости:
-
Tenda G300-F рутер – OS command injection в WAN диагностика
CVE-2026-25857 (CVSS 8.8)
Функционалността за WAN диагностика изгражда shell команди, използвайки входни данни, контролирани от атакуващия, без адекватна неутрализация.
Защо това е важно:
Компромисът на мрежово устройство осигурява дългосрочен достъп, възможност за манипулация на трафик и трудно откриваемо странично придвижване.
5. AI и агентни рамки. Произволен запис на файлове
AI рамките все по-често функционират като продукционна инфраструктура.
Наблюдавани уязвимости:
-
Microsoft Semantic Kernel (.NET SDK) – Произволен запис на файлове чрез SessionsPythonPlugin
CVE-2026-25592 (CVSS 9.9)
Преди версия 1.70.0 е възможно записване на произволни файлове върху хоста.
Защо това е важно:
AI агентите често работят с високи привилегии и широк достъп до файловата система. Подобни уязвимости бързо ескалират до пълен компромис.
6. JavaScript sandboxing. Sandbox Escape
Sandboxing остава крехка защитна граница при грешки в имплементацията.
Наблюдавани уязвимости:
-
SandboxJS – Sandbox escape чрез несъответствие при ключова валидация
CVE-2026-25641 (CVSS 10.0)
Разминаване между ключа за валидация и този за достъп до свойства позволява заобикаляне на sandbox ограниченията.
Защо това е важно:
Sandbox escape уязвимостите компрометират самата идея за изолация и позволяват изпълнение на код извън очаквания защитен контекст.
7. Инфраструктура за сигурност. Заобикаляне на автентикация
Самите инструменти за сигурност продължават да бъдат привлекателна цел.
Наблюдавани уязвимости:
-
Keylime Registrar – Липсва client-side TLS автентикация
CVE-2026-1709 (CVSS 9.4)
Неавтентикирани клиенти могат да извършват административни операции без клиентски сертификат.
Защо това е важно:
Заобикалянето на автентикация в инфраструктура за сигурност подкопава доверителните механизми в цялата среда.
8. Endpoint и management софтуер. SQL Injection
Management платформите продължават да съдържат класически инжекционни уязвимости с висок ефект.
Наблюдавани уязвимости:
-
Fortinet FortiClientEMS 7.4.4 – SQL injection чрез HTTP заявки
CVE-2026-21643 (CVSS 9.8)
Неавтентикиран атакуващ може да изпълни неоторизиран код или команди.
Защо това е важно:
Management системите управляват крайни точки в мащаб. SQL injection уязвимости тук позволяват бърз и широк компромис.
Ключови изводи
-
Слоевете за изпълнение и автоматизация остават високорискови
-
Доверието към входни данни продължава да води до компромиси
-
Sandbox и изолацията имат системен ефект при провал
-
AI рамките връщат познати класове уязвимости
-
Инфраструктурата за сигурност все по-често е цел
ThreatScope by DIAMATIX анализира как уязвимостите се натрупват и комбинират в реални среди, а не просто как се публикуват.
Trusted · Innovative · Vigilant
Получавайте актуални новини и експертни анализи за киберсигурност
