Дайджест уязвимостей от BI.ZONE EASM за май
В материале вы найдете разбор рисков, рекомендации по проверке возможных следов эксплуатации на хосте, а также ссылки на открытые отчеты киберразведки и официальные рекомендации вендоров.
В этом выпуске:
- Удаленное выполнение кода в Exim.
- Переполнение кучи в NGINX rewrite module.
- Выполнение JavaScript в OWA при открытии письма в Microsoft Exchange Server.
- SQL‑инъекция в Drupal Core.
| Идентификатор CVE | CVE‑2026‑45185 |
| Оценка по CVSS | 9,8 (critical) |
| Наличие в каталоге KEV | ❌ |
В Exim обнаружена критическая уязвимость CVE‑2026‑45185, также известная как Dead.Letter. Она затрагивает серверы Exim, собранные с GnuTLS, и связана с use‑after‑free при обработке BDAT — механизма передачи тела письма через SMTP‑расширение CHUNKING. По данным BI.ZONE EASM, в российском сегменте интернета может быть доступно до 20 тысяч потенциально уязвимых Exim‑серверов. В зоне риска находятся Exim 4.97–4.99.2 при одновременном использовании GnuTLS, STARTTLS и CHUNKING/BDAT. Сборки с OpenSSL не затронуты.
Рекомендации по устранению и митигации
- Обновите Exim до версии 4.99.3 или установите исправленный пакет от Linux‑дистрибутива.
- Проверьте бюллетень дистрибутива: исправление может быть добавлено в более старую версию пакета.
- Проверьте, какая TLS‑библиотека используется в сборке Exim: OpenSSL или GnuTLS.
Советы по проверке следов на хосте
- Проверьте SMTP‑логи на аномальные BDAT‑/CHUNKING‑сессии.
- Поищите неожиданные обрывы TLS‑сессий, падения и перезапуски процесса Exim.
- Проверьте очереди писем, новые FORWARD‑файлы, изменения transport‑/router‑конфигурации.
- Если MTA совмещен с хостингом, отдельно проверьте наличие веб‑шеллов и новых cron‑задач.
Полезные ссылки
- Dead.Letter (CVE-2026-45185) How XBOW Found an Unauthenticated RCE on Exim // XBOW
- [EXIM-Security-2026-05-01.1] Security Release 4.99.3 // Openwall OSS-security mailing list
| Идентификатор CVE | CVE‑2026‑42945 |
| Оценка по CVSS | 8,1 (high) |
| Наличие в каталоге KEV | ❌ |
В NGINX Open Source и NGINX Plus обнаружена уязвимость CVE‑2026‑42945, также известная как NGINX Rift. Она затрагивает ngx_http_rewrite_module и связана с переполнением при обработке определенных правил rewrite. Уязвимость проявляется только при наличии уязвимого rewrite‑шаблона, в котором используются безымянные PCRE‑группы вроде $1 или $2, в строке замены есть знак вопроса, а следом в той же области конфигурации — директива rewrite, if или set. RCE возможно, только если на хосте отключен механизм ASLR или атакующий может его обойти.
Рекомендации по устранению и митигации
- Обновите NGINX Open Source до версии 1.30.2 или 1.31.1. По состоянию на дату публикации нашего дайджеста также можно обновляться до актуальных 1.30.2/1.31.1, которые включают предыдущие исправления.
- Для NGINX Plus обновитесь до исправленного релиза своей ветки.
- Проверьте вывод nginx‑T на уязвимые шаблоны rewrite.
- Если обновление нельзя выполнить сразу, замените безымянные PCRE‑группы на именованные и перепроверьте конфигурацию перед перезапуском.
Советы по проверке следов на хосте
- Проверьте журналы ошибок на нарушения сегментации, сбои выделения памяти, повреждение памяти или кучи, а также на аварийные перезапуски рабочих процессов.
- Ищите всплески 4xx/5xx по URI, подпадающим под rewrite.
- Сопоставьте подозрительные запросы с параметрами строки запроса и правилами rewrite.
Полезные ссылки
- NGINX Rift // Depthfirst
- CVE-2026-42945 Detail // NIST NVD
- K000161019: NGINX ngx_http_rewrite_module vulnerability CVE-2026-42945 // MyF5
| Идентификатор CVE | CVE‑2026‑42897 |
| Оценка по CVSS | 8,1 (high) |
| Наличие в каталоге KEV | ✅ |
В Microsoft Exchange Server обнаружена XSS‑уязвимость в Outlook Web Access. Атакующий может отправить специально сформированное письмо, при открытии которого через OWA в браузере пользователя выполнится произвольный JavaScript‑код. Уязвимость уже эксплуатируется в реальных атаках. CISA добавила CVE‑2026‑42897 в каталог KEV 15 мая 2026 года. Затронуты локальные установки Exchange Server Subscription Edition, Exchange Server 2019 и Exchange Server 2016.
Рекомендации по устранению и митигации
- Проверьте, что Exchange Emergency Mitigation Service включен и применена временная митигация.
- Следите за выпуском полноценного обновления безопасности от Microsoft и установите его после публикации.
- Проверьте, какие OWA‑инстансы, включая забытые серверы, доступны из интернета.
Советы по проверке следов на хосте
- Проверьте IIS‑/OWA‑логи на необычные обращения после открытия подозрительных писем.
- Ищите новые правила пересылки писем.
- Проверьте OWA‑сессии с нетипичных ASN и пользовательских агентов, а также из нетипичных стран.
Полезные ссылки
- Microsoft Exchange Server Spoofing Vulnerability // Microsoft
- Addressing Exchange Server May 2026 vulnerability CVE-2026-42897 // Microsoft
| Идентификатор CVE | CVE‑2026‑9082 |
| Оценка по CVSS | 9,8 (critical) |
| Наличие в каталоге KEV | ✅ |
В Drupal Core обнаружена SQL‑инъекция в database abstraction API. Уязвимость позволяет неаутентифицированному пользователю отправлять специально сформированные запросы, приводящие к SQL‑инъекции на сайтах, использующих PostgreSQL. Drupal обновила бюллетень безопасности 22 мая 2026 года, указав, что уже есть попытки эксплуатации этой уязвимости. SQL‑инъекция напрямую затрагивает сайты на PostgreSQL, но Drupal рекомендует обновляться всем.
Рекомендации по устранению и митигации
- Обновите Drupal 11: 11.3.x — до 11.3.10, 11.2.x — до 11.2.12, 11.1.x и 11.0.x — до 11.1.10.
- Обновите Drupal 10: 10.6.x — до 10.6.9, 10.5.x — до 10.5.10, 10.4.x и ниже — до 10.4.10.
- Для Drupal 8.9 и 9 рассмотрите ручное применение best-effort patch, но учитывайте, что эти ветки уже сняты с поддержки и остаются уязвимыми к другим проблемам.
- Приоритизируйте публичные сайты Drupal с PostgreSQL.
- Проверьте роли, которым разрешено обновлять Twig, например через Views или сторонние модули.
Советы по проверке следов на хосте
- Проверьте логи приложений на ошибки SQL и необычные параметры в запросах.
- Отдельно посмотрите обращения к JSON:API, Views, фильтрам и эндпоинтам с динамическими параметрами.
- Проверьте появление пользователей с возможностями администратора и изменения ролей.
- Проверьте базы данных на подозрительные изменения в таблицах пользователей, сессий и конфигурации.
Полезные ссылки
- Drupal core - Highly critical - SQL injection - SA-CORE-2026-004 // Drupal
- CVE-2026-9082 Detail // NIST NVD
BI.ZONE EASM помогает работать с критическими уязвимостями системно. Платформа автоматически сопоставляет новые CVE с внешними активами, выявляет уязвимые сервисы, приоритизирует риски с учетом реальной эксплуатации и позволяет контролировать их устранение до полного закрытия. Это сокращает время между публикацией уязвимости и принятием управленческого решения: пропатчить, ограничить доступ, изолировать сервис или провести дополнительную проверку.
Если инцидент подтвержден, команда BI.ZONE DFIR проводит полноценное реагирование, устанавливает механизм компрометации, определяет масштаб атаки и помогает локализовать ее последствия.