Специалисты R-Vision представили ежемесячный обзор самых критических уязвимостей за апрель 2026 года. В отчет вошли проблемы с высоким уровнем угрозы в продуктах Adobe, TrueConf и Microsoft, по которым были зафиксированы реальные атаки.
CVE-2026-34621 в Adobe Acrobat и Reader (CVSS 8.6) позволяет выполнить произвольный код и выйти из песочницы через специально созданный PDF-документ. Для успешной атаки необходимо, чтобы JavaScript был включен. Эксплуатация этой уязвимости подтверждена ФСТЭК, Adobe и CISA. Рекомендуется отключить JavaScript и установить исправления, выпущенные 10 апреля.
CVE-2026-3502 в TrueConf Client для Windows (CVSS 7.8) связана с загрузкой обновлений без проверки их подлинности. Атакующий в смежной сети может подменить пакет и распространить вредоносные программы. Уязвимость использовалась в кампании TrueChaos. Необходимо обновиться до версии 8.5.3 или выше, сообщает CNews.
CVE-2026-33825 в Microsoft Defender (CVSS 7.8) позволяет повысить привилегии до SYSTEM через подмену пути к файлу SAM. Эксплойт уже опубликован, также известны неисправленные методы RedSun и UnDefend. Microsoft выпустила патч 14 апреля, для других пользователей необходимы компенсирующие меры.
CVE-2026-32201 в Microsoft SharePoint Server (CVSS 6.5) позволяет удаленно подделывать данные без аутентификации – что может быть использовано для фишинга и доступа к конфиденциальной информации. CISA включила эту уязвимость в KEV. На конец апреля в открытом доступе насчитывается около 1134 потенциально уязвимых серверов SharePoint.
Напоминаем, что в 90% финансовых приложений, представленных в популярных российских магазинах, была обнаружена уязвимость. Она позволяет взломать бэкенд и получить доступ к чувствительным данным пользователей, сообщили редакции IT Speaker в компании AppSec solutions.
В F6 назвали самые опасные мошеннические схемы на майских праздниках
