ThreatScope by DIAMATIX
Критични уязвимости, активно експлоатирани (09–15 февруари 2026)
В периода 09–15 февруари 2026 анализираните уязвимости отново очертават повтарящ се оперативен модел: отдалечена експозиция + примитиви за изпълнение + слаба изолация = мащабируем компромис.
Тази седмица засегнатите технологии включват операционни системи, мрежови устройства, enterprise workflow платформи, уеб сървъри, CMS плъгини, оркестрационни среди и широко използвани разработчески библиотеки.
Въпреки различните контексти, моделът е последователен: отдалечено изпълнение на код, инжекционни уязвимости, заобикаляне на защити и нарушения на паметта продължават да доминират при високорисковите експлоити.
По-долу уязвимостите са групирани по атакувана повърхност и оперативно въздействие.
Обобщен преглед
| Засегната област | Тип уязвимост | Потенциално въздействие |
|---|---|---|
| Операционни системи | Заобикаляне на защитен механизъм | Компромис през мрежата |
| Мрежови устройства | OS command injection | Превземане на устройство |
| Enterprise workflow платформи | Неавтентикирано RCE | Пълен системен компромис |
| Уеб сървъри | Stack buffer overflow | Отдалечено изпълнение |
| CMS плъгини | Произволен ъплоуд на файлове | Инсталиране на webshell |
| Оркестрационни платформи | RCE на root ниво | Компромис на клъстер |
| Разработчески библиотеки | Code injection | RCE / XSS |
1. Операционни системи. Заобикаляне на защитни механизми
Наблюдавана уязвимост:
-
Microsoft Windows Shell – Заобикаляне на защитен механизъм
CVE-2026-21510 (CVSS 8.8)
Проблем в защитен механизъм на Windows Shell позволява на неоторизиран атакуващ да заобиколи защитна функционалност през мрежата.
Защо това е важно:
Уязвимостите за заобикаляне на защити отслабват базовите допускания, върху които се изграждат други контроли. След пробив в основен OS слой, страничното придвижване и персистентността стават значително по-лесни.
2. Мрежови устройства. OS Command Injection
Наблюдавана уязвимост:
-
Totolink WA300 – OS command injection
CVE-2026-2167 (CVSS 8.8)
Манипулацията на аргумента Ipaddr във функцията setAPNetwork позволява отдалечено изпълнение на OS команди.
Защо това е важно:
Мрежовите устройства често са външно достъпни и с ограничена видимост от страна на мониторинг системите. Command injection в този слой осигурява устойчив достъп и възможност за манипулация на трафика.
3. Enterprise Workflow Платформи. Неавтентикирано RCE
Наблюдавана уязвимост:
-
Hyland OnBase Workflow Timer Service – Неавтентикирано .NET Remoting RCE
CVE-2026-26221 (CVSS 10.0)
Експониран .NET Remoting endpoint позволява изпращане на специално изготвени заявки, които водят до небезопасно десериализиране на обекти. Това позволява произволен запис/четене на файлове, RCE или принудително NTLM удостоверяване.
Защо това е важно:
Workflow платформите обработват чувствителни документи и често работят с повишени привилегии. Неавтентикираното RCE тук може бързо да ескалира до пълен инфраструктурен компромис.
4. Уеб сървъри. Нарушения на паметта
Наблюдавана уязвимост:
-
lighttpd server – Stack buffer overflow
CVE-2026-22903 (CVSS 9.8)
Специално изготвена HTTP заявка с прекомерно дълга SESSIONID cookie стойност може да предизвика stack buffer overflow и потенциално отдалечено изпълнение на код.
Защо това е важно:
Уязвимостите от тип memory corruption продължават да бъдат силно експлоатируеми, особено при публично достъпни услуги.
5. CMS Плъгини. Произволен ъплоуд на файлове
Наблюдавана уязвимост:
-
WPvivid Backup & Migration (WordPress) – Неавтентикиран произволен ъплоуд
CVE-2026-1357 (CVSS 9.8)
Комбинация от некоректна обработка на грешки при RSA декриптиране и липса на валидация на пътя позволява качване на произволни PHP файлове в публични директории.
Защо това е важно:
Уязвимостите за произволен ъплоуд почти винаги водят до инсталиране на webshell и устойчив достъп.
6. Оркестрационни и Deployment Платформи. Root-Level RCE
Наблюдавана уязвимост:
-
Catalyst – Отдалечено изпълнение на код като root
CVE-2026-26009 (CVSS 10.0)
Install скриптовете се изпълняват директно чрез bash -c без sandbox или контейнеризация. Потребители с template права могат да дефинират произволни команди, изпълнявани на root ниво.
Защо това е важно:
Когато оркестрационният слой позволява root изпълнение без изолация, компромисът се разпространява хоризонтално в целия клъстер.
7. Библиотеки за разработчици. Code Injection
Наблюдавана уязвимост:
-
jsonpath пакет – Произволна code injection
CVE-2026-1615 (CVSS 9.8)
Небезопасна оценка на потребителски JSON Path изрази позволява изпълнение на JavaScript код в Node.js среди или XSS в браузър.
Защо това е важно:
Библиотеките разпространяват риска към множество приложения едновременно. Уязвимост на dependency слой често има системен ефект.
Ключови наблюдения
-
Отдалеченото изпълнение на код остава доминиращ рисков клас
-
Неавтентикираните експозиции продължават да се появяват в enterprise софтуер
-
Мрежовите устройства и оркестрационните слоеве увеличават мащаба на компромиса
-
Memory corruption уязвимостите остават практически експлоатируеми
-
Third-party зависимости създават системен риск
ThreatScope by DIAMATIX анализира как уязвимостите се натрупват и комбинират в инфраструктурните слоеве и как експлоатационните пътища се усилват взаимно.
Trusted · Innovative · Vigilant
Получавайте актуални новини и експертни анализи за киберсигурност
