Аналитики компании R-Vision провели анализ уязвимостей, выявленных в марте, и составили дайджест, включив в него те, которые представляют наибольший интерес с точки зрения уровня риска, подтвержденной эксплуатации и актуальности для специалистов по информационной безопасности. Об этом CNews сообщили представители R-Vision. В дайджест вошли следующие уязвимости: CVE‑2026‑25187, связанная с Windows Winlogon; CVE-2026-23669, касающаяся Windows Print Spooler; CVE-2026-24291, относящаяся к Windows Accessibility Infrastructure; CVE-2026-3888, связанная с Snapd; и BDU:2026-02404, касающаяся PHP.
Уязвимость CVE‑2026‑25187 в Windows Winlogon позволяет повысить привилегии и имеет оценку CVSS 7.8. Она связана с тем, что процесс winlogon.exe не проверяет, является ли целевой путь символической ссылкой или точкой соединения, что позволяет пользователю с низкими привилегиями перенаправить операцию на защищенный системный ресурс. Это может привести к перезаписи или модификации критических системных файлов с повышением привилегий до уровня SYSTEM. Уязвимость была обнаружена Джеймсом Форшоу из Google Project Zero, и на момент анализа случаев её эксплуатации не зафиксировано. Microsoft выпустила обновление безопасности 10 марта 2026 года, и его рекомендуется установить как можно скорее.
Уязвимость CVE-2026-23669 в Windows Print Spooler позволяет удаленно выполнять произвольный код и имеет оценку CVSS 8.8. Она связана с некорректным освобождением объекта в памяти при обработке сетевых сообщений к RPC-эндпоинтам службы. Аутентифицированный атакующий может добиться выполнения произвольного кода в процессе службы, что предоставляет ему максимальные привилегии. На момент анализа случаев эксплуатации не зафиксировано, и 10 марта 2026 года было выпущено обновление безопасности, которое рекомендуется установить.
Уязвимость CVE-2026-24291 в Windows Accessibility Infrastructure связана с компонентом ATBroker.exe и позволяет повысить привилегии. Она была обнаружена исследователями MDSec и связана с тем, что при запуске защищенного рабочего стола создается второй экземпляр ATBroker.exe с привилегиями SYSTEM, что позволяет через манипуляции с символическими ссылками перезаписать произвольный ключ реестра. Подтвержденных случаев эксплуатации не зафиксировано, но имеется публичное доказательство концепции.
Уязвимость CVE-2026-3888 в snapd связана с компонентами snap-confine и systemd-tmpfiles и позволяет атакующему выполнять вредоносные действия с правами root. Эксплуатация требует минимального доступа к системе и связана с отсутствием проверки целостности директории Snap-приложения. На момент анализа случаев эксплуатации не зафиксировано, но имеется публичное доказательство концепции. Обновления безопасности для Ubuntu и Debian были выпущены 17 и 20 марта 2026 года соответственно.
Уязвимость BDU:2026-02404 в PHP позволяет обойти механизм disable_functions и выполнять команды ОС. Она связана с типом Use After Free и требует точки входа для передачи PHP-кода. Уязвимы версии PHP 8.2.x–8.5.x на Unix-системах. Подтвержденных случаев эксплуатации не зафиксировано, и вендор пока не выпустил исправление. В качестве компенсирующих мер рекомендуется запускать интерпретатор PHP в изолированном окружении с минимальными привилегиями и использовать отдельные пулы в PHP-FPM для разных пользователей.