Logo

Olulisemad turvanõrkused 2026. aasta 15. nädalal: Chrome, Adobe, Firefox jt

Chrome’is paigati 60 turvaviga. Adobe paikas turvavea, mida on õnnestunud rünnetes ära kasutada. Firefoxis paigati kriitilised turvanõrkused. Ründajad on võtnud sihikule WordPressi pistikprogrammis oleva turvanõrkuse. OpenSSL paikas seitse turvaviga. GitHub parandas kriitilise turvanõrkuse. Anthropic Claude tarkvarades parandati kolm turvanõrkust, millest üks on kriitilise tasemega. Palo Alto Networks ja SonicWall parandasid suure mõjuga turvavigu. Juniper paikas mitmes tootes suure hulga turvanõrkuseid. CISA lisas uued turvanõrkused ära kasutatud turvanõrkuste andmebaasi.

Chrome’is paigati 60 turvaviga

Google avaldas Chrome’i versioonid 147.0.7727.55/56 (Windows, Mac) ja 147.0.7727.55 (Linux), milles on paigatud 60 erineva mõjuga turvaviga. Parandatud vigade hulgas oli kaks kriitilist ja 14 suure mõjuga haavatavust. Ettevõte ei maini, et vigu oleks õnnestunud ära kasutada. Soovitame Chrome’i veebilehitsejat uuendada esimesel võimalusel (Chrome).

Adobe paikas turvavea, mida on õnnestunud rünnetes ära kasutada

Adobe parandas Acrobat Readeris turvavea tähisega CVE-2026-34621 (CVSS-skoor 8,6/10), mis võimaldab ründajal pahaloomulist koodi käivitada. Viga mõjutab Acrobat DC versioone 26.001.21367 ja varasemaid, Acrobat Reader DC versioone 26.001.21367 ja varasemaid ning Acrobat 2024 versioone 24.001.30356 ja varasemaid. Kuna viga on juba õnnestunud ära kasutada, tuleks tarkvara uuendada esimesel võimalusel (HN, Adobe).

Firefoxis paigati kriitilised turvanõrkused

Mozilla avaldas Firefoxi uue versiooni, milles on parandatud kolm kriitilist turvanõrkust, mille CVSS-skoor on 9,8/10. Vead on tähistega CVE-2026-5731, CVE-2026-5734 ja CVE-2026-5735. Turvanõrkused esinevad Firefox ESR 115.34.1, Firefox ESR 140.9.1, Thunderbird ESR 140.9.1, Firefoxi 149.0.2 ja Thunderbirdi 149.0.2 versioonides. Soovitame Firefoxi veebilehitsejat esimesel võimalusel uuendada (Mozilla).

Ründajad on võtnud sihikule WordPressi pistikprogrammis oleva turvanõrkuse

Ligikaudu 50 000 WordPressi veebilehte on mõjutatud Ninja Forms File Uploads pistikprogrammis olevast haavatavusest, mis võimaldab autentimata ründajal suvalisi faile üles laadida ja koodi kaugkäivitada. Turvaviga tähisega CVE-2026-0740 on hinnatud kriitilise CVSS-skooriga 9,8/10 ning küberturvalisusega tegelev ettevõte Defiant näeb pidevaid ründekatseid. Viga mõjutab pistikprogrammi versioone kuni 3.3.27, kus haavatavus on paigatud. Pistikprogrammil on üle 600 000 allalaadimise. Soovitame programmi esimesel võimalusel uuendada, sest WordPressi veebilehed on sageli ründajate sihtmärgiks (SW, BC).

OpenSSL paikas seitse turvaviga

OpenSSL paikas seitse turvaviga, mille hulgas oli ka turvaviga tähisega CVE-2026-31790, mis võimaldab ründajal saada ligipääsu tundlikule teabele. Vigadest on mõjutatud OpenSSLi versioonid 3.6, 3.5, 3.4, 3.3 ja 3.0. OpenSSLi versioonid 1.0.2 ja 1.1.1 ei ole nimetatud vigadest mõjutatud. Soovitame kõigil OpenSSLi kasutajatel üle kontrollida, milline versioon on kasutusel, ja vajadusel tarkvara uuendada (SW, OpenSSL).

GitHub parandas kriitilise turvanõrkuse

Kolm GitHub Actionsi töövoofaili sisaldasid käsusüsti haavatavust tähisega CVE-2026-35580 (CVSS-skoor 9,1/10). Ründaja, kellel on koodihoidlas kirjutamisõigus, saab käivitada suvalisi käske. See põhjustab koodihoidla mürgitamist, mis võib viia tarneahela ründeni, mõjutades allkasutajaid. Viga on parandatud versioonis 8.39.0 (GitHub).

Anthropic Claude’i tarkvarades parandati kolm turvanõrkust, millest üks on kriitilise tasemega

Anthropic Claude Code CLI-s ja Claude Agent SDK-s parandati kolm turvanõrkust, millest üks on kriitilise tasemega. Turvanõrkus tähisega CVE-2026-35022 (CVSS-skoor 9,3/10) on OS-i käsusüst, mis võimaldab ründajal käske käivitada ilma sisendi valideerimiseta (VulnCheck).

Palo Alto Networks ja SonicWall parandasid suure mõjuga turvavigu

Palo Alto Networks parandas kolm turvaviga Cortexi platvormidel ning tarkvarades ADEM for Windows ja PAN-OS. SonicWall avaldas turvapaigad SMA1000 seeria tulemüüride haavatavuste parandamiseks, nende hulgas oli ka suure mõjuga SQL-süsti võimaldav turvaviga tähisega CVE-2026-4112 (CVSS-skoor puudub). Viga võimaldab lugemisõigustega administraatoril saada suuremad õigused. Kumbki ettevõte ei maini, et vigu oleks õnnestunud ära kasutada (SW).

Juniper paikas mitmes tootes suure hulga turvanõrkusi

Juniper Networks paikas üle 30 turvavea, mis mõjutavad muu hulgas ka Junos OS-i ja Junos OS Evolvedi operatsioonisüsteeme. Vead võivad kaasa tuua õigustega manipuleerimise, teenuste tõkestamise ja käskude käivitamise. Kõige suurema mõjuga on JSI Virtual Lightweight Collectori turvaviga tähisega CVE-2026-33784 (CVSS-skoor 9,8/10), mille kaudu võib ründaja haavatava seadme üle võtta (SW, Juniper).

 

CISA lisas uued turvanõrkused ärakasutatud turvanõrkuste andmebaasi

CISA lisas uued turvanõrkused enda hallatavasse ärakasutatavate turvanõrkuste andmebaasi. Soovitame mõjutatud toodete kasutajatel kindlasti kontrollida, et tarkvara oleks uuendatud uusimale versioonile ning lõppenud tööeaga tooted oleksid võrgust eemaldatud.

  • CVE-2026-3055 (CVSS-skoor 9,3/10) Citrix NetScaleri piiridest väljuva lugemise (out-of-bounds read) turvanõrkus, millest kirjutasime 13. nädala turvanõrkuste ülevaates.
  • CVE-2026-5281 (CVSS-skoor 8,8/10) Google Dawn’i mäluviga.
  • CVE-2026-3502 (CVSS-skoor 7,8/10) TrueConf Clienti puuduva tervikluse kontrollita koodi allalaadimise turvanõrkus.
  • CVE-2026-35616 (CVSS-skoor 9,8/10) Fortinet FortiClient EMS-i puuduliku pääsukontrolli turvanõrkus.
  • CVE-2026-1340 (CVSS-skoor 9,8/10) Ivanti Endpoint Manager Mobile’i koodisüsti turvanõrkus.

Loe lähemalt CISA hallatavast teadaolevalt ära kasutatavate turvanõrkuste kataloogist (CISA).

Artikli illustratsioon on loodud tehisintellekti tarkvaraga ChatGPT.

Soovid RIA blogipostitusi ja uudiseid oma postkasti? Meie RSS-vood leiad siit!

Vanemad blogipostitused (2014–2024) leiad veebiarhiivist.

Turvanõrkus Küberturvalisus Soovitused

Loomise kuupäev: 13.04.2026

open graph image
KÕIK BLOGIPOSTITUSED