So'nggi kunlarda bir nechta xavfli zaifliklar aniqlandi, ularning aksariyatidan masofadan turib foydalanish mumkin:
- GStreamer 1.28.2 multimedia tizimining patch versiyasida 11 ta zaiflik aniqlandi, ulardan uchtasi buferning toshib ketishidan kelib chiqadi va maxsus tayyorlangan MKV (CVE tayinlanmagan) va MOV/MP4 (CVE-2026-5056) multimedia konteynerlarini, shuningdek, H.266/VVC oqimlarini (CVE tayinlanmagan) qayta ishlashda kodning bajarilishiga olib kelishi mumkin. Qolgan sakkizta zaiflik butun sonlarning toshib ketishi yoki NULL ko'rsatkichlarining deformatsiyalari tufayli yuzaga keladi va WAV, JPEG2000, AV1, H.264, MOV, MP4, FLV, mDVDsub va SRT/WebVTT ma'lumotlarini qayta ishlashda xizmat ko'rsatishning rad etilishiga yoki ma'lumotlarning oqishiga olib kelishi mumkin. GStreamerdagi zaifliklarning xavfi, u GNOME da yangi fayllarni avtomatik ravishda indekslashda metama'lumotlarni tahlil qilish uchun ishlatilishi bilan kuchayadi, ya'ni hujum qilish uchun faylni indekslangan ~/Downloads katalogiga yuklab olish kifoya.
- В server CUPS chop etishda sakkizta zaiflik aniqlandi, ulardan ikkitasi (CVE-2026-34980 va CVE-2026-34990) maxsus tayyorlangan so'rovni chop etish serveriga yuborish orqali root imtiyozlari bilan masofaviy kod bajarilishini amalga oshirish uchun ishlatilishi mumkin. Birinchi zaiflik autentifikatsiya qilinmagan tajovuzkorga maxsus tayyorlangan chop etish ishini yuborish orqali lp foydalanuvchisining imtiyozlari bilan kod bajarilishini amalga oshirish imkonini beradi (muammo qochib ketgan satr uzatuvchi belgilarni noto'g'ri ishlatish natijasida yuzaga keladi). Ikkinchi zaiflik esa, xayoliy printerni almashtirish orqali root imtiyozlariga ega fayllarni o'zgartirish orqali lp foydalanuvchisidan rootga imtiyozlarni oshirish imkonini beradi. Ushbu zaifliklarni tuzatadigan CUPS yangilanishi hali mavjud emas.
- WolfSSL kriptografik kutubxonasining 5.9.1 versiyasidagi yangi versiyasi e'lon qilindi, unda 21 ta zaiflik tuzatildi. Bitta muammo jiddiy deb baholandi va to'qqiztasi yuqori deb baholandi (xotira buzilishiga olib keladi). Muhim zaiflik (CVE-2026-5194) xesh hajmi va OID validatsiyasining yo'qligidan kelib chiqadi. Bu kichikroq xeshlarni belgilash imkonini beradi, shu bilan ECDSA/ECC, DSA, ML-DSA, ED25519 va ED448 raqamli imzo algoritmlarining kuchini zaiflashtiradi va sertifikatga asoslangan autentifikatsiyani chetlab o'tadi. Zaiflik antrop muhandislari tomonidan sun'iy intellekt modeli bilan kodni ko'rib chiqish paytida aniqlandi.
- OpenSSL kriptografik kutubxonasi 3.6.2, 3.5.6, 3.4.5 va 3.3.7 ning yamoq versiyalari nashr etildi, ular yettita zaiflikni tuzatdi. Eng jiddiy zaiflik (CVE-2026-31790) oldingi operatsiyadan keyin buferda qolgan maxfiy ma'lumotlarning oqishiga olib kelishi mumkin. Muammo RSA KEM kalitlarini (RSASVE) kapsulalashda boshlanmagan xotiradan foydalanish natijasida yuzaga keladi.
Yana bir zaiflik (CVE-2026-31789) buferning toshib ketishi natijasida yuzaga keladi va maxsus tayyorlangan X.509 sertifikatlarini qayta ishlashda satrdan o'n oltilik sanoq tizimiga o'tkazish operatsiyalarini bajarishda kodning bajarilishiga olib kelishi mumkin. Bu muammo xavfsiz deb baholanadi, chunki u faqat 32-bitli platformalarga ta'sir qiladi. Qolgan zaifliklar chegaradan tashqaridagi buferdan ma'lumotlarni o'qish, allaqachon bo'shatilgan xotiraga kirish va nol ko'rsatkichga havolani bekor qilish natijasida yuzaga keladi.
- OpenClaw 2026.3.11 versiyasida 10 balldan 10 ballgacha jiddiylik reytingiga ega bo'lgan muhim zaiflik (CVE-2026-32922) tuzatildi, bu AI modellariga tizim muhitlari bilan o'zaro ishlashga (masalan, yordamchi dasturlarni ishga tushirish va fayllar bilan ishlashga) imkon beruvchi OpenClaw AI agenti. Zaiflik "/pairapprove" buyrug'i ruxsatlarni to'g'ri tekshirmasligi natijasida yuzaga keladi, bu esa juftlashtirish imtiyozlariga (OpenClawga kirish uchun zarur bo'lgan eng past imtiyoz darajasi) ega bo'lgan har qanday foydalanuvchiga o'zlari uchun administrator huquqlarini tasdiqlash va muhitni to'liq nazorat qilish imkonini beradi. Hujumni amalga oshirish uchun shunchaki OpenClaw-ga ulaning, operator.admin kirish huquqiga ega soxta qurilmani ro'yxatdan o'tkazishni so'rang va keyin "/pairapprove" buyrug'i bilan o'z so'rovini tasdiqlang, maqsadli OpenClaw nusxasi va barcha tegishli xizmatlarni to'liq nazorat qiling.
Bir necha kun oldin, OpenClaw’da shunga o‘xshash zaiflik (CVE-2026-33579) aniqlangan edi, bu esa kirish tekshiruvlarini chetlab o‘tish va administrator imtiyozlarini olish imkonini berdi. Muammoni aniqlagan tadqiqotchilar onlayn tarzda 135 000 ta ommaviy OpenClaw nusxalarini ko‘rsatuvchi statistikani keltirdilar, ularning 63 foizi autentifikatsiya qilinmagan ulanishlarga imkon beradi.
- NixOS distributivida ishlatiladigan Nix paket menejerida zaiflik (CVE-2026-39860) aniqlandi. Unga kritik darajadagi jiddiylik darajasi berilgan (10 balldan 9 ball). Zaiflik tizimdagi har qanday faylni qayta yozishga imkon beradi, bu NixOS va ko'p foydalanuvchili o'rnatishlarda root imtiyozlari bilan ishlaydigan Nix fon jarayonining ruxsatlariga bog'liq. Muammo 2024-yilda CVE-2024-27297 zaifligi uchun noto'g'ri tuzatish tufayli yuzaga kelgan. Ekspluatatsiya tuzilish chiqishi yozilgan izolyatsiya qilingan tuzilish muhitidagi katalogdagi ramziy havolani almashtirish orqali sodir bo'ladi. Zaiflik Nix 2.34.5, 2.33.4, 2.32.7, 2.31.4, 2.30.4, 2.29.3 va 2.28.6 da tuzatildi.
- Yadroda Linux Claude Code asboblar to'plami bilan tajribalar davomida aniqlangan va nfsd, io_uring, futex va ksmbd quyi tizimlariga ta'sir qiluvchi beshta zaiflik (1, 2) tuzatildi. NFS drayveridagi zaiflik yadro xotirasi tarkibini NFS serveriga so'rovlar yuborish orqali aniqlash imkonini beradi. Muammo yadro 2.6.0 (2003) dan beri mavjud bo'lgan xato tufayli yuzaga kelgan.
Manba: opennet.ru
