Azken egunotan hainbat ahultasun arriskutsu aurkitu dira, eta horietako gehienak urrunetik ustiatu daitezke:
- GStreamer 1.28.2 multimedia esparruaren adabakiaren argitalpenean, 11 ahultasun identifikatu ziren, eta horietatik hiru buffer gainezkatzeek eragindakoak dira eta kodearen exekuzioa eragin dezakete bereziki landutako MKV (CVE ez da esleituta) eta MOV/MP4 (CVE-2026-5056) multimedia edukiontziak prozesatzean, baita H.266/VVC jarioak (CVE ez da esleituta) ere. Gainerako zortzi ahultasunak zenbaki osoko gainezkatzeek edo NULL erakusleen dereferentziak eragindakoak dira eta zerbitzuaren ukapena edo informazio-ihesak eragin ditzakete WAV, JPEG2000, AV1, H.264, MOV, MP4, FLV, mDVDsub eta SRT/WebVTT datuak prozesatzean. GStreamer-en ahultasunen arriskua areagotu egiten da GNOME-n metadatuak analizatzeko erabiltzen delako fitxategi berriak automatikoki indexatzen direnean, hau da, erasotzeko, nahikoa da fitxategi bat ~/Downloads direktorio indexatuan deskargatzea.
- В zerbitzaria Zortzi ahultasun identifikatu dira CUPS inprimaketan, eta horietatik bi (CVE-2026-34980 eta CVE-2026-34990) ustia daitezke root pribilegioekin urruneko kodea exekutatzeko, inprimatze-zerbitzariari eskaera berezi bat bidaliz. Lehenengo ahultasunak erasotzaile autentifikatu gabe bati lp erabiltzailearen pribilegioekin kodea exekutatzea ahalbidetzen dio, inprimatze-lan berezi bat bidaliz (arazoa ihes-lerro-jauzi karaktereak gaizki maneiatzeagatik sortzen da). Bigarren ahultasunak pribilegioak lp erabiltzailetik root erabiltzailearengana eskalatzea ahalbidetzen du, root pribilegioak dituzten fitxategiak aldatuz inprimagailu fiktizio bat ordezkatuz. Ahultasun hauek konpontzen dituen CUPS eguneratzerik ez dago oraindik eskuragarri.
- wolfSSL liburutegi kriptografikoaren 5.9.1 bertsioaren adabaki bat argitaratu da, 21 ahultasun konponduz. Arazo bat kritikotzat jo da, eta bederatzi larritzat (memoria hondatzea eragiten du). Ahultasun kritikoa (CVE-2026-5194) hash tamaina eta OID balidazio faltagatik gertatzen da. Horri esker, hash txikiagoak zehaztu daitezke, eta horrela ECDSA/ECC, DSA, ML-DSA, ED25519 eta ED448 sinadura digitaleko algoritmoen indarra ahuldu eta ziurtagirietan oinarritutako autentifikazioa saihestu. Ahultasuna Anthropic-eko ingeniariek aurkitu zuten IA eredu batekin kodea berrikustean.
- OpenSSL kriptografia-liburutegiaren 3.6.2, 3.5.6, 3.4.5 eta 3.3.7 bertsioen adabaki-bertsioak argitaratu dira, zazpi ahultasun konponduz. Ahultasun larrienak (CVE-2026-31790) aurreko eragiketa baten ondoren bufferrean geratzen diren datu sentikorrak isurtzea eragin dezake. Arazoa RSA KEM gakoak (RSASVE) kapsulatzerakoan hasieratu gabeko memoria erabiltzeagatik sortzen da.
Beste ahultasun bat (CVE-2026-31789) buffer gainezkatzeak eragiten du eta kodea exekutatzea eragin dezake kate-hamaseitar bihurketa eragiketak egiten direnean, bereziki landutako X.509 ziurtagiriak prozesatzean. Arazo hau onberatzat hartzen da, 32 biteko plataformei bakarrik eragiten dielako. Gainerako ahultasunak mugaz kanpoko buffer batetik datuak irakurtzeak, dagoeneko askatu den memoria atzitzeak eta erakusle nulu bat deserreferentziatzeak eragiten dituzte.
- 10etik 10eko larritasun-balorazioa duen ahultasun kritiko bat (CVE-2026-32922) konpondu da OpenClaw 2026.3.11 bertsioan, IA modeloei sistema-inguruneekin elkarreragiteko aukera ematen dien OpenClaw AI agentean (adibidez, utilitateak exekutatu eta fitxategiekin lan egiteko). Ahultasunaren arrazoia "/pairapprove" komandoak baimenak behar bezala egiaztatzen ez dituelako da, eta horrek parekatze-pribilegioak dituen edozein erabiltzaileri (OpenClaw-era sartzeko behar den pribilegio-maila baxuena) administratzaile-eskubideak bere kabuz aldarrikatzea eta ingurunearen kontrol osoa lortzea ahalbidetzen dio. Eraso bat egiteko, konektatu OpenClaw-era, eskatu operator.admin sarbidea duen gailu faltsu baten erregistroa, eta ondoren onartu zure eskaera "/pairapprove" komandoarekin, helburu den OpenClaw instantziaren eta lotutako zerbitzu guztien kontrol osoa lortuz.
Egun batzuk lehenago, antzeko ahultasun bat (CVE-2026-33579) aurkitu zen OpenClaw-en, sarbide-egiaztapenak saihesteko eta administratzaile-pribilegioak lortzeko aukera ematen zuena. Arazoa aurkitu zuten ikertzaileek sarean 135 OpenClaw instantzia publikoki eskuragarri daudela erakusten duten estatistikak aipatzen dituzte, eta horietatik % 63k autentifikatu gabeko konexioak baimentzen dituzte.
- Ahultasun bat (CVE-2026-39860) identifikatu da NixOS banaketan erabiltzen den Nix pakete kudeatzailean. Larritasun maila kritikoa esleitu zaio (10etik 9). Ahultasunak sistemako edozein fitxategi gainidatzi ahalbidetzen du, Nix atzeko planoan prozesuaren baimenen arabera, zeina NixOSen eta erabiltzaile anitzeko instalazioetan root pribilegioekin exekutatzen den. Arazoa 2024ko CVE-2024-27297 ahultasunaren konponketa desegoki batek eragiten du. Esplotazioa eraikuntza-ingurune isolatu bateko direktorio bateko esteka sinboliko bat ordezkatuz gertatzen da, non eraikuntza-irteera idatzi zen. Ahultasuna Nix 2.34.5, 2.33.4, 2.32.7, 2.31.4, 2.30.4, 2.29.3 eta 2.28.6 bertsioetan konpondu zen.
- Linux kernelaren bost ahultasun konpondu dira, Claude Code toolkit-arekin egindako esperimentuetan zehar identifikatuak eta nfsd, io_uring, futex eta ksmbd azpisistemei eragiten dietenak (1, 2). NFS kontrolatzailearen ahultasunak kernelaren memoriaren edukia aurkitzea ahalbidetzen du NFS zerbitzari bati eskaerak bidaliz. Arazoa kernelaren 2.6.0 bertsiotik (2003) dagoen akats batek eragiten du.
Iturria: opennet.ru
