Дайджест уязвимостей от BI.ZONE EASM за апрель
В описании уязвимостей вы найдете краткий разбор рисков, рекомендации по проверке возможных следов эксплуатации на хосте, а также ссылки на открытые отчеты киберразведки и официальные рекомендации вендоров.
В этом выпуске:
- RCE в Nginx‑UI (MCPwn).
- Обход аутентификации в cPanel & WHM.
- XSS в Synacor Zimbra Collaboration Suite.
- Обход аутентификации в JetBrains TeamCity.
| Идентификатор CVE | CVE‑2026‑33032 |
| Оценка по CVSS | 9,8 (critical) |
| Наличие в каталоге KEV | ✅ |
Уязвимость CVE‑2026‑33032 позволяет неаутентифицированному в сети злоумышленнику полностью захватить контроль над nginx‑ui — графическим веб‑интерфейсом для управления nginx — за счет отсутствия проверки на конечной точке /mcp_message. Это дает атакующему возможность вызывать MCP‑инструменты nginx‑ui для модификации конфигурации nginx, перезапуска сервера и исполнения произвольных команд, что может привести к полной компрометации.
Рекомендации по устранению и митигации
- Обновите nginx‑ui до версии 2.3.6 или выше — в патче добавлен middleware‑вызов аутентификации для конечной точки / mcp_message.
- Если обновление невозможно, разрешите сетевой доступ к nginx‑ui только из управляющей подсети или отключите MCP‑интеграцию полностью.
- Проведите ревизию. Выясните, где именно установлен nginx‑ui (графический веб‑интерфейс, а не сам nginx) и обязательно ли он должен быть доступен из публичной сети.
Советы по проверке следов на хосте
- В журнале доступа nginx‑ui ищите любые POST‑запросы к конечной точке
/mcp_messageс внешних IP‑адресов. - В логе nginx‑ui (
/var/log/nginx‑ui/nginx‑ui.logили в каталоге запуска) ищите вызовы MCP‑инструментов: nginx_reload, read_file, write_file, execute_command и подобных. - Сравните текущую конфигурацию в
/etc/nginx/nginx.confи файлы в/etc/nginx/conf.d/, /etc/nginx/sites‑enabled/с резервными копиями. К признакам подмены относится появление неизвестных блоковserver, новых локаций, proxy_pass к внешним адресам и нестандартных SSL‑сертификатов. - В системном журнале systemd
journal (journalctl ‑u nginx ‑u nginx‑ui)проверьте аномальное число перезапусков nginx и nginx‑ui за период. - Сверьте контрольные суммы файлов сайтов: атакующие нередко добавляют веб‑шеллы.
Полезные ссылки
- nginx‑ui Security Advisories // GitHub
- CVE‑2026‑33032 Detail // NIST NVD
- MCPwn — How a Missing Middleware Call in nginx‑ui Hands Attackers Full Web Server Takeover // Picus Security
| Идентификатор CVE | CVE‑2026‑41940 |
| Оценка по CVSS | 9,8 (critical) |
| Наличие в каталоге KEV | ✅ |
Уязвимость CVE‑2026‑41940 позволяет обойти аутентификацию и получить root на сервере cPanel & WHM — ПО для управления веб‑хостингом, которое активно используют российские хостинг‑провайдеры. Эксплуатация основана на CRLF‑инъекции в обработчике cookie и обходе механизма шифрования сессионных файлов: атакующий внедряет в файл сессии произвольные свойства (в том числе user=root), после чего сервер повышает сессию до root. Реальные атаки с эксплуатацией этой уязвимости фиксируются с конца февраля 2026 года.
По данным BI.ZONE Threat Intelligence, на теневых форумах размещены предложения о продаже другого эксплоита для cPanel, позволяющего получить логины и пароли в открытом виде. Это указывает на высокий интерес злоумышленников и практическую применимость подобных уязвимостей в атаках.
Продавец утверждает, что уязвимости подвержены 13 522 панели в 94 странах. В опубликованный им список вошли Россия, Беларусь и Узбекистан.
Рекомендации по устранению и митигации
- Установите экстренный апрельский выпуск безопасности cPanel & WHM (TSR‑2026‑0001).
- До установки патча на уровне обратного прокси‑сервера (nginx/HAProxy) фильтруйте запросы, содержащие последовательности
\r\nв заголовкахAuthorizationиCookie.
Советы по проверке следов на хосте
- В каталогах сессий
/var/cpanel/sessions/и/usr/local/cpanel/sessions/raw/ищите файлы, в которых для учетных записей обычного пользователя есть свойства user=root, theme=root или дублирующие административные ключи. Это признак успешной CRLF‑инъекции. - В
/usr/local/cpanel/logs/access_logищите запросы с подозрительными заголовкамиAuthorization: Basic ..., содержащими конструкции вида\r\n`/`%0d%0a. - В
/usr/local/cpanel/logs/login_logищите такие успешные WHM‑логины, какrootс нестандартных IP‑адресов, особенно размещенные с 23 февраля 2026 г. - Проверьте, появляются ли новые аккаунты и SSH‑ключи в
/etc/wwwacct.conf, /var/cpanel/users/, /var/cpanel/resellersи/root/.ssh/authorized_keys. - Сравните контрольные суммы файлов в
/usr/local/cpanel/с эталонными. Атакующие могут модифицировать сами PHP‑Perl‑скрипты cPanel для скрытого доступа.
Полезные ссылки
- Targeted Security Release TSR‑2026‑0001 // cPanel
- CVE‑2026‑41940 Detail // NIST NVD
- The Internet Is Falling Down — cPanel & WHM Authentication Bypass CVE‑2026‑41940 // watchTowr Labs
| Идентификатор CVE | CVE‑2025‑48700 |
| Оценка по CVSS | 6,1 (medium) |
| Наличие в каталоге KEV | ✅ |
Уязвимость CVE‑2025‑48700 позволяет неаутентифицированному отправителю выполнить произвольный JavaScript‑код в браузере жертвы. От пользователя не требуется других действий — достаточно открыть письмо в Classic UI Zimbra. Эксплуатация приводит к краже сессионных cookie, выполнению действий от лица пользователя и выгрузке переписки. Уязвимость внесена в KEV только 20 апреля 2026 г., хотя была раскрыта ранее.
Рекомендации по устранению и митигации
- Обновите Zimbra до соответствующего патча: ZCS 8.8.15 Patch 47, ZCS 9.0 Patch 45, 10.0.13 или 10.1.5 и новее.
- В качестве временной меры переключите пользователей с Classic UI на Modern UI: там XSS‑вектор не срабатывает.
Советы по проверке следов на хосте
- В
/opt/zimbra/log/mailbox.logи/opt/zimbra/log/access_logищите обращения к/h/(Classic UI), за которыми сразу следуют REST‑вызовы/service/soap, /service/preauth, /service/user/<email>/inbox/...от того же пользователя. Типичная цепочка: XSS → action‑on‑behalf. - В
/opt/zimbra/log/audit.logищите массовыеSearchRequest, GetMsgRequest, ContactActionот одной учетной записи за короткий период. Это явный признак автоматизированной выгрузки данных. - В заголовках принятых писем проверяйте подозрительные HTML‑вложения с CSS @import, нестандартными <style>‑блоками и MIME‑частями
text/htmlс большой вложенностью. - В журнале сессий ищите повторное появление одного и того же
.ZmAuthTokenс разных IP/ASN — это индикатор кражи сессии. - В админ‑консоли и zmprov появление новых правил Sieve (forward/redirect), особенно для топ‑менеджеров и привилегированных пользователей, в течение определенного периода.
Полезные ссылки
- Zimbra Security Advisories // Synacor (Zimbra Wiki)
- CVE‑2025‑48700 Detail // NIST NVD
- CISA Adds Eight Known Exploited Vulnerabilities to Catalog (April 20, 2026) // CISA
| Идентификатор CVE | CVE‑2024‑27199 |
| Оценка по CVSS | 7,3 (high) |
| Наличие в каталоге KEV | ✅ |
Уязвимость CVE‑2024‑27199 — relative path traversal в JetBrains TeamCity, позволяющая неаутентифицированному злоумышленнику обойти проверку аутентификации для ограниченного набора административных конечных точек. Это дает возможность подменить HTTPS‑сертификат сервера.
В реальных атаках эта уязвимость часто связывается с CVE‑2024‑27198 (CVSS 9,8; полный обход аутентификации) и приводит к захвату всего CI/CD‑конвейера и встраиванию вредоносного кода в собираемые артефакты. Несмотря на то что уязвимость не новая, 20 апреля 2026 г. CISA внесла ее в KEV на фоне всплеска ransomware‑атак (Jasmin, BianLian) и атак на цепочку поставок.
Рекомендации по устранению и митигации
- Обновите TeamCity до версии 2023.11.4 или выше.
- Уберите TeamCity‑сервер с внешнего периметра: он должен быть доступен только через VPN или из внутренних сетей.
- Ротируйте секреты, токены сборки и SSH‑ключи, используемые билд‑агентами и CI/CD‑конвейерами.
- Проверьте целостность недавно собранных артефактов. При подозрении на компрометацию пересоберите их в чистом окружении.
Советы по проверке следов на хосте
- В
<TeamCity Data Directory>/logs/teamcity‑server.logиteamcity‑rest‑api.logищите запросы, содержащие/../, %2e%2e/, ..%2f, ;.jsp, ;..— основные шаблоны обхода аутентификации. - Сверьте текущий HTTPS‑сертификат TeamCity с эталонным/предыдущим. Подмена сертификата — типовое последствие эксплуатации CVE‑2024‑27199.
- В
<TeamCity Data Directory>/config/projects/и XML‑файлах конфигураций проектов проверьте недавно измененные/добавленные шаги сборки с командами wget, curl, bash ‑c, powershell ‑enc, Invoke‑Expression. Это признак внедрения вредоносных шагов в конвейер. - В
<TeamCity Data Directory>/config/_trust/проверьте добавление новых доверенных публичных ключей и токенов агентов. - В Administration → Users и Plugins List проверьте появление новых административных учеток и сторонних плагинов в течение определенного периода.
- Просканируйте собранные за период бинарные файлы на наличие неподписанных/неизвестных компонентов supply chain.
Полезные ссылки
- JetBrains Security Bulletin & Issues Fixed // JetBrains
- CVE‑2024‑27199 Detail // NIST NVD
- JetBrains TeamCity Multiple Authentication Bypass Vulnerabilities Fixed // Rapid7
BI.ZONE EASM помогает работать с критическими уязвимостями системно. Платформа автоматически сопоставляет новые CVE с внешними активами, выявляет уязвимые сервисы, приоритизирует риски с учетом их реальной эксплуатации и позволяет контролировать устранение до полного закрытия. Это сокращает время между публикацией уязвимости и принятием управленческого решения: пропатчить, ограничить доступ, изолировать сервис или провести дополнительную проверку.
Если инцидент подтвержден, команда BI.ZONE DFIR проводит полноценное реагирование, устанавливает механизм компрометации, определяет масштаб атаки и помогает локализовать ее последствия.