Logo

Olulisemad turvanõrkused 2026. aasta 17. nädalal: Oracle, Microsoft, CrowdStrike jt

Oracle paikas 450 turvanõrkust. Enam kui 1300 Microsoft SharePointi serverit on teesklusrünnaku tõttu ohus. Azure IoT Centralis parandati kriitiline turvaviga. Microsoft parandas ASP.NET Core turvavea. CrowdStrike paikas kriitilise turvanõrkuse. Apple paikas turvavea, mis võimaldas kustutatud teateid taastada. Ründajad on võtnud sihikule WordPressi pistikprogrammis oleva turvanõrkuse. CISA lisas uued turvanõrkused ära kasutatud turvanõrkuste andmebaasi.

Oracle paikas 450 turvanõrkust 

Kokku paigati 300 turvaviga, mida on võimalik kuritarvitada kaugelt ja autentimata. Parandatud vigade hulgas oli ligikaudu 36 kriitilist haavatavust. Turvavead mõjutavad mitmeid erinevaid Oracle’i tooteid, näiteks Communications, Financial Services Applications, Fusion Middleware, MySQL ja PeopleSoft. Täpsema nimekirja paigatud turvavigadest leiab lisatud linkidelt ning Oracle soovitab kõigil kasutajatel tarkvara uuendada (SW, Oracle). 

 

Enam kui 1300 Microsoft SharePointi serverit on teesklusrünnaku tõttu ohus 

Nullpäeva turvanõrkus tähisega CVE-2026-32201 mõjutab järgmiseid SharePointi versioone: SharePoint Enterprise Server 2016, SharePoint Server 2019 ja SharePoint Server Subscription Edition. Ettevõtte sõnul püüavad ründajad endiselt turvanõrkust ära kasutada. Viga on paigatud, kuid Shadowserveri andmetel on endiselt enam kui 1300 Microsoft SharePointi serverit turvavea tõttu ohus (BC). 

 

Azure IoT Centralis parandati kriitiline turvaviga 

Microsoft Azure IOT Centralis paigati kriitiline turvaviga tähisega CVE-2026-21515 (CVSS-skoor 9,9/10). Turvanõrkus võimaldab autoriseeritud ründajal õiguste ülesvallutust. Ettevõtte teatel pole turvanõrkuse parandamiseks kasutaja sekkumist vaja (Microsoft). 

 

Microsoft parandas ASP.NET Core turvavea 

Turvaviga tähisega CVE-2026-40372 võimaldab ründajal ASP.NET Core’i tarkvaras õigustega manipuleerida ja on hinnatud CVSS-skooriga 9,1/10. Eduka ründe korral on võimalik saada süsteemiõigused ning seeläbi faile muuta. Viga on parandatud ASP.NET Core’i versioonis 10.0.7 (HN, Microsoft). 

CrowdStrike paikas kriitilise turvanõrkuse 

CrowdStrike parandas LogScale’i toodetes kriitilise turvanõrkuse tähisega CVE-2026-40050 (CVSS-skoor 9,8/10). Kataloogihüppe turvanõrkus võimaldab ründajal kaugelt ligipääsu failisüsteemile. Viga mõjutab kindlate LogScale’i versioonide kasutajaid ning toodete omanikel soovitatakse tarkvara uuendada (SW, SA).  

 

Apple paikas turvavea, mis võimaldas kustutatud teateid taastada 

Apple on välja andnud iPhone'i ja iPadi seadmetele turvauuendused, millega parandatakse viga, mis võimaldas kustutatud teavitustel seadmesse alles jääda. Turvaviga tähisega CVE-2026-28950 on parandatud versioonides: iOS 26.4.2, iPadOS 26.4.2, iOS 18.7.8 ja iPadOS 18.7.8. Kuigi Apple ei selgitanud, miks see erakorraline uuendus avaldati, kirjeldas 404 Media hiljutine aruanne, kuidas FBI taastas kahtlustatava iPhone'ist Signali sõnumite koopiad ning seda tehti pärast sõnumite rakendusest kustutamist (BC). 

 

Ründajad on võtnud sihikule WordPressi pistikprogrammis oleva turvanõrkuse 

Ründajad on võtnud sihikule WordPressi Breeze Cache pistikprogrammis oleva kriitilise haavatavuse, mis võimaldab autentimata ründajal suvalisi faile üles laadida ja seeläbi saada täielik kontroll veebilehe üle. Nimetatud pistikprogrammi on paigaldatud 400 000 korda. Turvaviga tähisega CVE-2026-3844 on hinnatud kriitilise CVSS-skooriga 9,8/10. Viga mõjutab pistikprogrammi versioone kuni 2.4.5, kus haavatavus on paigatud. Soovitame kõigil WordPressi veebilehtede haldajatel pistikprogramme regulaarselt uuendada (BC). 

 

CISA lisas uued turvanõrkused ära kasutatud turvanõrkuste andmebaasi

CISA lisas uued turvanõrkused enda hallatavasse ära kasutatavate turvanõrkuste andmebaasi. Soovitame mõjutatud toodete kasutajatel kindlasti kontrollida, et tarkvara oleks uuendatud uusimale versioonile ja lõppenud tööeaga tooted oleksid võrgust eemaldatud. 

  • CVE-2026-20122 (CVSS-skoor 5,4/10) Cisco Catalyst SD-WAN Manageri kõrgendatud õigustega API puuduliku kasutamise turvanõrkus, millest kirjutasime 10. nädala turvanõrkuste ülevaates.
  • CVE-2026-20133 (CVSS-skoor 7,5/10) Cisco Catalyst SD-WAN Manageri teabepaljang autoriseerimata kasutajale turvanõrkus.
  • CVE-2025-2749 (CVSS-skoor 7,2/10) Kentico Xperience’i kataloogihüppe turvanõrkus.
  • CVE-2023-27351 (CVSS-skoor 8,2/10) PaperCut NG/MF-i puuduliku autentimise turvanõrkus.
  • CVE-2025-48700 (CVSS-skoor 6,1/10) Synacor Zimbra Collaboration Suite (ZCS) skriptisüsti (XSS) turvanõrkus.
  • CVE-2026-20128 (CVSS-skoor 7,5/10) Cisco Catalyst SD-WAN Manager taastavas formaadis salasõna hoiustamise (storing passwords in a recoverable format) turvanõrkus, millest kirjutasime 10. nädala turvanõrkuste ülevaates.
  • CVE-2025-32975 (CVSS-skoor 10/10) Quest KACE Systems Management Appliance (SMA) puuduliku autentimise turvanõrkus.
  • CVE-2024-27199 (CVSS-skoor 7,3/10) JetBrains TeamCity kataloogihüppe turvanõrkus, millest kirjutasime 10. nädala turvanõrkuste ülevaates.
  • CVE-2026-33825 (CVSS-skoor 7,8/10) Microsoft Defender puuduliku pääsukontrolli turvanõrkus.
  • CVE-2026-39987 (CVSS-skoor 9,8/10) Marimo koodi kaugkäituse (RCE) turvanõrkus.
  • CVE-2025-29635 (CVSS-skoor 7,2/10) D-Link DIR-823X käsusüsti turvanõrkus.
  • CVE-2024-7399 (CVSS-skoor 9.8/10) Samsung MagicINFO 9 serveri kataloogihüppe turvanõrkus, millest kirjutasime 19. nädala turvanõrkuste ülevaates.
  • CVE-2024-57728 (CVSS-skoor 7,2/10) SimpleHelpi kataloogihüppe turvanõrkus.
  • CVE-2024-57726 (CVSS-skoor 9.9/10) SimpleHelpi puuduva autoriseerimise turvanõrkus. 

Loe lähemalt CISA hallatavast teadaolevalt ära kasutatavate turvanõrkuste kataloogist (CISA). 

Artikli illustratsioon on loodud tehisintellekti tarkvaraga ChatGPT.

Soovid RIA blogipostitusi ja uudiseid oma postkasti? Meie RSS-vood leiad siit!

Vanemad blogipostitused (2014–2024) leiad veebiarhiivist.

Turvanõrkus Küberturvalisus Soovitused

Loomise kuupäev: 27.04.2026

open graph image
KÕIK BLOGIPOSTITUSED