ThreatScope by DIAMATIX
Критични уязвимости, активно експлоатирани (16–22 февруари 2026)
В периода 16–22 февруари 2026 водещият рисков модел се измести към разработчицки среди, AI инструменти, слабости в автентикацията и експонирани bridge услуги.
Констатациите тази седмица подчертават една важна реалност:
когато инструментите за разработка, SDK рамките, колаборационните bridge услуги и backup платформите имат пропуски в автентикацията или изолацията, компромисът не остава локален. Той се разпространява между системи.
По-долу уязвимостите са групирани според оперативния им слой на въздействие.
Обобщен преглед
| Засегната област | Тип уязвимост | Потенциално въздействие |
|---|---|---|
| Разработчицки инструменти (VS Code) | Изтичане на файлове / изпълнение на код | Локален компромис и изтичане на данни |
| AI & ML инструменти | Remote Code Execution | Пълен системен компромис |
| Backup и security платформи | Некоректна автентикация | Разкриване и манипулация на данни |
| Колаборационни bridge услуги | Превземане на сесия | Завземане на акаунт и прихващане на съобщения |
| Enterprise recovery системи | Hardcoded credentials | Отдалечен root достъп и персистентност |
| AI SDK рамки | Remote Code Execution | Компромис на приложението |
1. Разработчицки среди. Изтичане на файлове и изпълнение на код
Наблюдавани уязвимости:
CVE-2025-65717 – Live Server изтичане на локални файлове
CVE-2025-65716 – Markdown Preview Enhanced произволно изпълнение на JavaScript
CVE-2025-65715 – Code Runner произволно изпълнение на код
Microsoft Live Preview – достъп до чувствителни файлове (без CVSS)
Няколко VS Code разширения позволяват атакуващите да подведат разработчик да отвори злонамерена страница или специално изготвен markdown файл. Това дава възможност за:
Обхождане на локални файлове чрез localhost услуги
Сканиране на локални портове
Произволно изпълнение на JavaScript
Манипулиране на settings.json чрез социално инженерство
Защо това е важно:
Разработчицките работни станции са все по-привилегирована среда.
Когато разширенията експонират localhost услуги без изолация, атакуващите могат да преминат от фишинг към локален компромис и кражба на идентификационни данни.
2. AI и Machine Learning инструменти. Supply-Chain RCE
Наблюдавана уязвимост:
NLTK Downloader RCE – CVE-2025-14009 (CVSS 10.0)
Функцията _unzip_iter използва zipfile.extractall() без валидиране на пътя, което позволява злонамерени архиви да презаписват файлове и да изпълняват произволен Python код.
NLTK приема всички изтеглени пакети за доверени, което позволява:
Инжектиране на зловредни Python файлове
Автоматично изпълнение при импорт
Пълен системен компромис
Защо това е важно:
AI и ML инструментите все по-често се използват в продукционни среди.
Когато допусканията за доверие към пакетите са грешни, компромисът се пренася от разработката към данните и продукционните процеси.
3. Backup и Security платформи. Некоректна автентикация
Наблюдавани уязвимости:
Acronis Cyber Protect – CVE-2025-30411
CVE-2025-30412
CVE-2025-30416
(CVSS 10.0)
Некоректната автентикация позволява разкриване и манипулиране на чувствителни данни в засегнатите версии.
Защо това е важно:
Backup и cyber protection платформите работят с повишено ниво на доверие.
Пробив в автентикацията на този слой засяга директно целостта на данните, възстановяването и съответствието.
4. Колаборационна инфраструктура. Превземане на сесии
Наблюдавана уязвимост:
Nanobot WhatsApp Bridge – CVE-2026-2577 (CVSS 10.0)
WebSocket сървърът е обвързан към всички мрежови интерфейси и не изисква автентикация.
Атакуващият може да:
Превземе активна WhatsApp сесия
Изпраща съобщения от името на потребителя
Прихваща съобщения и медия в реално време
Заснеме QR кодове за автентикация
Защо това е важно:
Bridge услугите разширяват комуникацията към автоматизирани системи.
При липса на автентикация атакуващите получават директен достъп до комуникационни канали.
5. Enterprise Recovery системи. Hardcoded Credentials
Наблюдавана уязвимост:
Dell RecoverPoint for Virtual Machines – CVE-2026-22769 (CVSS 10.0)
Hardcoded идентификационни данни позволяват на неавтентикиран атакуващ да получи root достъп и персистентност.
Защо това е важно:
Hardcoded credentials са една от най-критичните архитектурни слабости.
Когато подобен проблем съществува в recovery инфраструктура, рискът засяга основни системи.
6. AI SDK рамки. Remote Code Execution
Наблюдавана уязвимост:
Microsoft Semantic Kernel Python SDK – CVE-2026-26030 (CVSS 10.0)
Remote Code Execution уязвимост в InMemoryVectorStore функционалността засяга версии преди 1.39.4.
Защо това е важно:
AI SDK рамките се интегрират бързо в продукционни приложения.
RCE на този слой засяга приложенията, API интеграциите и потенциално backend инфраструктурата.
Ключови наблюдения
Разработчицките инструменти се превръщат в основна атакуваема повърхност
AI екосистемите въвеждат нови supply-chain рискове
Некоректната автентикация остава повтарящ се проблем
Hardcoded credentials продължават да се срещат в enterprise среди
Колаборационните bridge услуги разширяват идентичностно-базирания риск
Доверието към SDK и разширения често е неоправдано
Тази седмица показва стратегическо изместване на риска към development и automation слоевете.
ThreatScope от DIAMATIX анализира къде се пресичат уязвимостите с реалните оперативни слоеве — не само колко висока е тяхната CVSS оценка.
Trusted · Innovative · Vigilant
Получавайте актуални новини и експертни анализи за киберсигурност
