NGINX, популярные сайты и ИИ-платформы. Хакеры получили готовые инструменты для атаки на миллионы узлов по всему миру
NewsMakerБолее 2000 роутеров TP-Link остаются беззащитными перед старой уязвимостью.
Сразу несколько опасных уязвимостей в популярных серверных программах и плагинах оказались в центре внимания специалистов Vulncheck. Среди целей потенциальных атак — серверы NGINX, FTP-серверы ProFTPD, платформа для запуска локальных языковых моделей Ollama, а также плагины WordPress и домашние маршрутизаторы TP-Link. Для большинства проблем уже появились готовые инструменты для атак, а часть уязвимостей уже используют злоумышленники.
Отдельного внимания заслуживает CVE-2026-20182 в Cisco Catalyst SD-WAN Controller. Уязвимость позволяет обойти аутентификацию через службу vdaemon и получила критический уровень опасности. Rapid7 раскрыла проблему 14 мая, а Cisco Talos сообщает , что брешь уже используют в реальных атаках участники UAT-8616. Та же группа ранее связывалась с эксплуатацией CVE-2026-20127, похожей уязвимости, которая с момента раскрытия в феврале привлекла внимание хакеров, работающих в интересах государств. По данным Censys, в интернете доступны около 2000 экземпляров Cisco Catalyst SD-WAN. Команда VulnCheck добавила поисковые запросы для выявления таких систем и продолжит работу над инструментами проверки и правилами обнаружения.
Одной из самых обсуждаемых стала CVE-2026-42945 в модуле ngx_http_rewrite_module для NGINX. Уязвимость связана с переполнением буфера в памяти и позволяет удаленно вывести из строя рабочий процесс сервера с помощью специально сформированных HTTP-запросов. Теоретически возможен и запуск вредоносного кода, но для такого сценария на сервере должна быть отключена технология случайного размещения адресов памяти ASLR, что встречается крайне редко. Дополнительное условие — использование определенной конфигурации rewrite-правил.
По данным Censys, в интернете доступны около 5,7 млн серверов с потенциально уязвимыми версиями NGINX, хотя реально пригодных для атаки систем значительно меньше. Публичный пример эксплуатации уже опубликован, но специалисты VulnCheck считают его скорее инструментом для отказа в обслуживании, чем полноценного захвата сервера.
Еще одна опасная проблема получила идентификатор CVE-2026-42167 и затрагивает ProFTPD. Уязвимость находится в модуле mod_sql и позволяет провести SQL-инъекцию до прохождения аутентификации. В результате злоумышленник может удаленно выполнить код на сервере. Публичный пример атаки появился 1 мая. По оценке ZeroPath, около 1% доступных из интернета серверов ProFTPD подвержены такой атаке. Поиск Shodan показывает примерно 615 тыс. серверов ProFTPD по всему миру, а значит потенциально уязвимых систем насчитываются тысячи. Пока источники киберразведки не сообщали о масштабных кампаниях эксплуатации CVE-2026-42167, однако наличие готового инструмента для атак делает массовые попытки взлома весьма вероятными.
Специалисты также подготовили инструмент для эксплуатации CVE-2024-37032 в Ollama — популярной платформе для запуска локальных больших языковых моделей. Уязвимость, известная под названием Probllama , позволяет удаленно выполнить код без аутентификации через обход ограничений при работе с путями файлов. По данным Shodan, в интернете доступны около 23,7 тыс. экземпляров Ollama. Такие серверы представляют особую ценность для злоумышленников, поскольку могут хранить модели, запросы пользователей и историю переписки.
Под угрозой оказались и владельцы сайтов на WordPress. Уязвимость CVE-2026-23550 обнаружили в плагине Modular Connector, который используют вместе с сервисом Modular DS для управления сайтами WordPress. Проблема позволяет обойти аутентификацию и загрузить вредоносный плагин с правами администратора. Patchstack сообщает о случаях эксплуатации уязвимости в реальных атаках против более чем 40 тыс. установок. Проблему уже добавили в каталог активно используемых уязвимостей VulnCheck KEV.
Еще одну критическую ошибку нашли в плагине Contact Form by Supsystic для WordPress. Уязвимость CVE-2026-4257 позволяет удаленно выполнить код без авторизации через внедрение шаблонов Twig. Проблема затрагивает версии до 1.7.36 включительно и исправлена только в версии 1.8.0, выпущенной 26 марта 2026 года. В описании обновления разработчики ограничились расплывчатой формулировкой об исправлении «незначительных и критических уязвимостей», не упомянув идентификатор CVE. Плагин скачали более 640 тыс. раз, а число активных установок превышает 6 тыс. Пока сообщений о массовых атаках нет, но открытая техническая документация и критический уровень опасности делают попытки эксплуатации практически неизбежными.
Отдельно специалисты упомянули CVE-2022-24355 в маршрутизаторах TP-Link TL-WR940N. Уязвимость позволяет удаленно выполнить код без аутентификации через переполнение стека в встроенном веб-сервере устройства. Проблему раскрыли еще в 2022 году через Zero Day Initiative , однако интерес к ней сохраняется до сих пор. По данным Censys, в интернете остаются доступны более 2400 таких маршрутизаторов. Пока подтвержденных атак не зафиксировали, но технические детали давно находятся в открытом доступе.
Сразу несколько опасных уязвимостей в популярных серверных программах и плагинах оказались в центре внимания специалистов Vulncheck. Среди целей потенциальных атак — серверы NGINX, FTP-серверы ProFTPD, платформа для запуска локальных языковых моделей Ollama, а также плагины WordPress и домашние маршрутизаторы TP-Link. Для большинства проблем уже появились готовые инструменты для атак, а часть уязвимостей уже используют злоумышленники.
Отдельного внимания заслуживает CVE-2026-20182 в Cisco Catalyst SD-WAN Controller. Уязвимость позволяет обойти аутентификацию через службу vdaemon и получила критический уровень опасности. Rapid7 раскрыла проблему 14 мая, а Cisco Talos сообщает , что брешь уже используют в реальных атаках участники UAT-8616. Та же группа ранее связывалась с эксплуатацией CVE-2026-20127, похожей уязвимости, которая с момента раскрытия в феврале привлекла внимание хакеров, работающих в интересах государств. По данным Censys, в интернете доступны около 2000 экземпляров Cisco Catalyst SD-WAN. Команда VulnCheck добавила поисковые запросы для выявления таких систем и продолжит работу над инструментами проверки и правилами обнаружения.
Одной из самых обсуждаемых стала CVE-2026-42945 в модуле ngx_http_rewrite_module для NGINX. Уязвимость связана с переполнением буфера в памяти и позволяет удаленно вывести из строя рабочий процесс сервера с помощью специально сформированных HTTP-запросов. Теоретически возможен и запуск вредоносного кода, но для такого сценария на сервере должна быть отключена технология случайного размещения адресов памяти ASLR, что встречается крайне редко. Дополнительное условие — использование определенной конфигурации rewrite-правил.
По данным Censys, в интернете доступны около 5,7 млн серверов с потенциально уязвимыми версиями NGINX, хотя реально пригодных для атаки систем значительно меньше. Публичный пример эксплуатации уже опубликован, но специалисты VulnCheck считают его скорее инструментом для отказа в обслуживании, чем полноценного захвата сервера.
Еще одна опасная проблема получила идентификатор CVE-2026-42167 и затрагивает ProFTPD. Уязвимость находится в модуле mod_sql и позволяет провести SQL-инъекцию до прохождения аутентификации. В результате злоумышленник может удаленно выполнить код на сервере. Публичный пример атаки появился 1 мая. По оценке ZeroPath, около 1% доступных из интернета серверов ProFTPD подвержены такой атаке. Поиск Shodan показывает примерно 615 тыс. серверов ProFTPD по всему миру, а значит потенциально уязвимых систем насчитываются тысячи. Пока источники киберразведки не сообщали о масштабных кампаниях эксплуатации CVE-2026-42167, однако наличие готового инструмента для атак делает массовые попытки взлома весьма вероятными.
Специалисты также подготовили инструмент для эксплуатации CVE-2024-37032 в Ollama — популярной платформе для запуска локальных больших языковых моделей. Уязвимость, известная под названием Probllama , позволяет удаленно выполнить код без аутентификации через обход ограничений при работе с путями файлов. По данным Shodan, в интернете доступны около 23,7 тыс. экземпляров Ollama. Такие серверы представляют особую ценность для злоумышленников, поскольку могут хранить модели, запросы пользователей и историю переписки.
Под угрозой оказались и владельцы сайтов на WordPress. Уязвимость CVE-2026-23550 обнаружили в плагине Modular Connector, который используют вместе с сервисом Modular DS для управления сайтами WordPress. Проблема позволяет обойти аутентификацию и загрузить вредоносный плагин с правами администратора. Patchstack сообщает о случаях эксплуатации уязвимости в реальных атаках против более чем 40 тыс. установок. Проблему уже добавили в каталог активно используемых уязвимостей VulnCheck KEV.
Еще одну критическую ошибку нашли в плагине Contact Form by Supsystic для WordPress. Уязвимость CVE-2026-4257 позволяет удаленно выполнить код без авторизации через внедрение шаблонов Twig. Проблема затрагивает версии до 1.7.36 включительно и исправлена только в версии 1.8.0, выпущенной 26 марта 2026 года. В описании обновления разработчики ограничились расплывчатой формулировкой об исправлении «незначительных и критических уязвимостей», не упомянув идентификатор CVE. Плагин скачали более 640 тыс. раз, а число активных установок превышает 6 тыс. Пока сообщений о массовых атаках нет, но открытая техническая документация и критический уровень опасности делают попытки эксплуатации практически неизбежными.
Отдельно специалисты упомянули CVE-2022-24355 в маршрутизаторах TP-Link TL-WR940N. Уязвимость позволяет удаленно выполнить код без аутентификации через переполнение стека в встроенном веб-сервере устройства. Проблему раскрыли еще в 2022 году через Zero Day Initiative , однако интерес к ней сохраняется до сих пор. По данным Censys, в интернете остаются доступны более 2400 таких маршрутизаторов. Пока подтвержденных атак не зафиксировали, но технические детали давно находятся в открытом доступе.