Positive Technologies представила майский дайджест трендовых уязвимостей

Аналитики Positive Technologies пополнили список трендовых уязвимостей четырьмя критическими багами. В выборку попали компоненты Microsoft SharePoint, криптографический стек ядра Linux, брокер сообщений Apache ActiveMQ Classic и офисный пакет Adobe Acrobat Reader. Под «трендовыми» в данном контексте понимаются дефекты, которые уже активно эксплуатируются в реальных сценариях атак или имеют высокую вероятность реализации в ближайшем будущем. Система MaxPatrol VM обновляет данные об этих угрозах в течение 12 часов с момента их верификации.

Microsoft SharePoint Server: манипуляция данными

Уязвимость PT-2026-32853 (CVE-2026-32201) имеет оценку 6,5 по шкале CVSS и была зафиксирована в ходе атак в первой декаде апреля 2026 года. Дефект затрагивает версии SharePoint Server Subscription Edition, 2019 и 2016. Проблема позволяет неавторизованному злоумышленнику удаленно подменять сетевой трафик. Технически это выглядит как внедрение вредоносного JavaScript-кода в серверные ответы. В итоге атакующий получает возможность подменять отображаемый контент или перехватывать данные пользователей. Вендор выпустил патч в рамках апрельского цикла обновлений. В качестве меры по снижению рисков (mitigation) регулятор ФСТЭК рекомендует ограничить внешний доступ к серверам SharePoint с помощью межсетевого экранирования.

Ядро Linux: эскалация привилегий через AF_ALG

Баг под идентификатором PT-2026-34274 (CVE-2026-31431, CVSS 7,8), известный в сообществе как «Copy Fail», несет серьезную угрозу для инфраструктур на базе Linux. Ошибка кроется в работе с памятью внутри подсистемы криптографического API ядра — компоненте AF_ALG. Проще говоря, непривилегированный пользователь может выполнить локальный взлом системы и получить root-права, что дает полный контроль над ОС, включая возможность незаметного размещения бэкдоров и отключения средств мониторинга. Уязвимость подтверждена для актуальных сборок RHEL, Ubuntu, Amazon Linux и SUSE. Для защиты необходимо обновить ядро до версий 6.18.22, 6.19.12 или 7.0, а также, как вариант, отключить модуль `algif_aead`.

Apache ActiveMQ Classic: RCE-уязвимость

В Apache ActiveMQ Classic обнаружен критический недостаток PT-2026-30805 (CVE-2026-34197) с оценкой 8,8 по шкале CVSS. Проблема связана с некорректной валидацией входных данных, что ведет к возможности удаленного выполнения кода (RCE) на сервере. Согласно отчету Fortinet, активная эксплуатация началась 13 апреля. Успешный захват сервера позволяет злоумышленнику извлекать сообщения и конфигурационные данные, а также использовать узел как плацдарм для проникновения во внутреннюю сеть. Устранить уязвимость можно путем обновления до версий 5.19.4 или 6.2.3. Дополнительно рекомендуется отключить компонент Jolokia и ограничить периметр доступа к порту 8161 только доверенными узлами внутренней сети.

Adobe Acrobat Reader: целевые атаки через PDF

Последняя в списке — уязвимость PT-2026-32093 (CVE-2026-34621, CVSS 8,6) в продуктах Acrobat Reader, Acrobat DC и Acrobat 2024. Это классическая RCE-уязвимость: для инициализации атаки пользователю достаточно открыть специально сформированный PDF-документ. Исследователи отмечают, что инструмент эксплуатировался как минимум с конца 2025 года, в том числе в кампаниях, направленных на российский нефтегазовый сектор. Помимо выполнения кода, вредоносный файл способен скрытно экспортировать локальные данные на сервер атакующего. Проблема решается установкой актуальных патчей через внутренний апдейтер ПО. До момента обновления рекомендуется соблюдать строгую осторожность при работе с PDF-файлами из недоверенных источников.