Logo

Olulisemad turvanõrkused 2026. aasta 18. nädalal: Apaches, Chrome, Firefox jpt

Apaches parandati mitmeid turvanõrkused, sealhulgas maksimaalse kriitilisusega haavatavus. Chrome’is paigati 30 turvaviga. Firefoxis paigati mitmed turvanõrkused. Üheksa aasta vanune Linuxi kerneli turvanõrkus võimaldab õiguste vallutust. GitHubi Jenkinsi pistikprogrammis parandati kriitiline turvanõrkus. GitHubi turvanõrkus lubab koodi kaugkäivitamist. Moxa parandas mitmeid turvanõrkuseid. SonicWall parandas tulemüürides mitu SonicOSi turvaviga. cPaneli ja WHM-i uuendus parandab kriitilise autentimisest möödahiilimise vea. LiteLLM-i käsusüsti turvaviga on võetud sihikule. Populaarsel WordPressi pistikprogrammil avastati viis aastat olnud tagauks. CISA lisas uued turvanõrkused ära kasutatud turvanõrkuste andmebaasi.

Apaches parandati mitmeid turvanõrkused, sealhulgas maksimaalse kriitilisusega haavatavus

Apache Camel-CoAPis parandati maksimaalse kriitilisusega turvanõrkus CVE-2026-33453 (CVSS-skoor 10/10). Haavatavus võimaldab ründajal muuta tundlikke andmeid ja muutujaid. Kasutajatel soovitatakse uuendada versioonile Apache Camel 4.18.1 või 4.19.0. (Openwall

Apache MINAs parandati mitu kriitilist turvanõrkust, nt CVE-2026-41635 (CVSS-skoor 9,8/10) ja CVE-2026-41409 (CVSS-skoor 9,8/10) (Apache, Apache).

Samuti parandati usaldamatute andmete objektimise turvanõrkus tähisega CVE-2026-42778 (CVSS-skoor 9,8/10), mis on parandatud versioonides 2.1.12 ja 2.2.7 (NIST, Apache). 

Apache Camelis parandati kriitiline turvanõrkus CVE-2026-40453 (CVSS-skoor 9,9/10) (Apache). 

Apache Camel-Maili komponendis parandati kriitiline turvanõrkus CVE-2026-33454 (Apache). 

Samuti parandati mitu viga Apache Thriftis, millest kõige tõsisem on CVE-2026-41636 (CVSS-skoor 8,7/10) - kontrollimatu rekursiooni viga (Openwall). 

Chrome’is paigati 30 turvaviga 

Google avaldas Chrome’i versioonid 147.0.7727.137/138 (Windows, macOS) ja 147.0.7727.137 (Linux), milles on paigatud 30 erineva mõjuga turvaviga. CVE-2026-7333 (CVSS-skoor 9,6/10) on mäluviga (use-after-free). Ettevõte ei maini, et vigu oleks õnnestunud ära kasutada. Soovitame Chrome’i veebilehitsejat uuendada esimesel võimalusel (Chrome). 

Firefoxis paigati mitmed turvanõrkused 

Mozilla avaldas Firefoxi uue versiooni, milles on parandatud neli turvanõrkust, sealhulgas kriitiline liivakastist põgenemise viga tähisega CVE-2026-7321 (CVSS-skoor 9,6/10). Ülejäänud on samuti mäluvead tähistega CVE-2026-7320, CVE-2026-7322 ja CVE-2026-7323. Turvanõrkused on parandatud versioonis Firefox ESR 140.10.1. Soovitame Firefoxi veebilehitsejat esimesel võimalusel uuendada (Mozilla). 

Üheksa aasta vanune Linuxi kerneli turvanõrkus võimaldab õiguste vallutust 

Küberturbeteadurid avastasid Linuxi turvanõrkuse tähisega CVE-2026-31431 (CVSS-skoor 7,8/10), tuntud ka nimega Copy Fail. See on põhjustatud kolmest muudatusest, mis on kernelis aastate jooksul tehtud. Tegu on loogikaveaga, täpsemalt vigase ressursside jaotamisega väljade vahel (incorrect resource transfer between spheres). Turvanõrkus on lisatud ka ära kasutatud turvanõrkuste andmebaasi (NIST). 

GitHubi Jenkinsi pistikprogrammis parandati kriitiline turvanõrkus 

GitHubi Jenkinsi pistikprogrammis parandati mitmeid turvanõrkusi, sealhulgas kriitiline haavatavus tähisega CVE-2026-42523 (CVSS-skoor 9,0/10), mis on skriptisüst (XSS) ja mida saab üldiste või lugemisõigustega ründaja ära kasutada. Viga esineb versioonis Jenkins GitHub Plugin 1.46.0 ja varasemates. Soovitame mõjutatud kasutajatel tarkvara uuendada (Jenkins). 

GitHubi turvanõrkus lubab koodi kaugkäivitamist 

GitHub parandas kriitilise vea CVE-2026-3854 (CVSS-skoor 8,7/10), mis võimaldab ründajal pahaloomulist koodi käivitada git push’i kaudu. Viga mõjutab järgmisi tarkvarasid: GitHub Enterprise Cloud, GitHub Enterprise Cloud with Data Residency, GitHub Enterprise Cloud with Enterprise Managed Users ja GitHub Enterprise Server. Viga on parandatud Enterprise Server versioonides 3.14.24, 3.15.19, 3.16.15, 3.17.12, 3.18.6 ja 3.19.3. Soovitame GitHubi tarkvara uuendada (SA). 

SonicWall parandas tulemüürides mitu SonicOSi turvaviga 

SonicWall avaldas uued püsivara versioonid, et parandada Gen 6, 7 ja 8 tulemüürides kolm turvanõrkust. Vead võimaldavad ründajal turbemeetmetest mööduda, piiratud teenustele ligi pääseda ja seadme kokkujooksmist põhjustada. Kõige tõsisem on viga tähisega CVE-2026-0204, mille CVSS-skoor on 8,0/10. Soovitame toodete kasutajatel paigaldada turvauuendused (SA). 

Moxa parandas mitmeid turvanõrkuseid 

Moxa Secure Routeris parandati turvanõrkus tähisega CVE-2026-3868 (CVSS-skoor 8,7/10). Tegu on mäluveaga (improper handling of length parameter inconsistency). Täpsem nimekiri parandatud toodetest ja versioonidest on leitav lisatud lingilt (Moxa). 

 

cPaneli ja WHM-i uuendus parandab kriitilise autentimisest möödahiilimise vea

cPaneli ja WebHost Manageri (WHM) tarkvarades avalikustati kriitiline turvaviga, mis võimaldab autentimata ründajal saada juhtpaneelile ligipääsu. Haavatavus tähisega CVE-2026-41940 on hinnatud CVSS-skooriga 9,8/10 ja see mõjutab cPaneli ning WHM-i erinevaid versioone 110.0.x-136.0.x. Turvaveale on olemas parandus ning kõik kasutajad peaksid tarkvara värskendama. CISA on haavatavuse lisanud ära kasutatud turvanõrkuste andmebaasi. On teateid, et haavatavust kasutatakse lunavararünnetes ära (BC, cPanel, BC). 

LiteLLM-i käsusüsti turvaviga on võetud sihikule 

Ründajatel õnnestus ära kasutada LiteLLM-i turvaviga tähisega CVE-2026-42208 (CVSS-skoor 9,3/10) kõigest 36 tundi pärast vea avalikustamist. Tegemist on SQLi koodisüsti võimaldava veaga, mis ilmneb LiteLLM-i puhverserveri API võtme verifitseerimise etapis. LiteLLM on populaarne tarkvara, mis võimaldab kasutajatel tehisintellekti mudeleid kasutada ühtse API kaudu. Viga on parandatud LiteLLM-i versioonis 1.83.7 (HN, BC). 

Populaarsel WordPressi pistikprogrammil avastati viis aastat olnud tagauks

Rohkem kui 70 000 WordPressi veebilehel on kasutusel „Quick Page/Post Redirect“ nimeline pistikprogramm, mille turvaviga võimaldab ründajal kasutajate lehtedele suvalist koodi sisestada. WordPress on pistikprogrammi ajutiselt oma andmebaasist eemaldanud, nii et uued kasutajad seda alla laadida ei saa. Olemasolevatel kasutajatel soovitatakse see samuti oma lehtedelt eemaldada ja oodata, kuni parandusega versioon avalikustatakse (BC). 

CISA lisas uued turvanõrkused ära kasutatud turvanõrkuste andmebaasi

CISA lisas uued turvanõrkused enda hallatavasse ära kasutatavate turvanõrkuste andmebaasi. Soovitame mõjutatud toodete kasutajatel kindlasti kontrollida, et tarkvara oleks uuendatud uusimale versioonile ja lõppenud tööeaga tooted oleksid võrgust eemaldatud. 

  • CVE-2024-1708 (CVSS-skoor 8,4/10) - ConnectWise ScreenConnecti kataloogihüppe turvanõrkus.
  • CVE-2026-32202 (CVSS-skoor4,3/10) - Microsoft Windowsi kaitsemeetmete tõrke turvanõrkus.
  • CVE-2026-41940 (CVSS-skoor 9,8/10) - WebPros cPanel & WHM and WP2 (WordPress Squared) kriitilise funktsiooni puuduva autentimise turvanõrkus.
  • CVE-2026-31431 (CVSS-skoor 7,8/10) - Linuxi kerneli väljade vahel vigase ressursside jaotamise turvanõrkus. 

Loe lähemalt CISA hallatavast teadaolevalt ära kasutatavate turvanõrkuste kataloogist (CISA). 

 

Artikli illustratsioon on loodud tehisintellekti tarkvaraga ChatGPT.

Soovid RIA blogipostitusi ja uudiseid oma postkasti? Meie RSS-vood leiad siit!

Vanemad blogipostitused (2014–2024) leiad veebiarhiivist.

Turvanõrkus Küberturvalisus Soovitused

Loomise kuupäev: 04.05.2026

open graph image
KÕIK BLOGIPOSTITUSED