Ivanti hoiatab oma kliente Endpoint Manager Mobile’i tarkvaras oleva nullpäeva turvanõrkuse eest
Ivanti andis teada Endpoint Manager Mobile’i (EPMM) tarkvaras olevast nullpäeva turvanõrkusest tähisega CVE-2026-6973 (CVSS-skoor 7,2/10), mida on rünnetes ära kasutatud. Viga võimaldab ründajal käivitada pahaloomulist koodi. Lisaks parandati samas tootes veel neli turvaviga. Turvavead on parandatud EPMM-i versioonides 12.6.1.1, 12.7.0.1 ja 12.8.0.1. Kuna Ivanti tooted on olnud tihti ründajate sihtmärgiks, soovitatakse kõigil kasutajatel tarkvara uuendada esimesel võimalusel (BC, Ivanti, SW).
Palo Alto Networks hoiatab tulemüüride kriitilise haavatavuse eest
Palo Alto Networksi PAN-OS-i tarkvaras tuvastati turvaviga tähisega CVE-2026-0300, mille kriitiline CVSS-skoor on 9,3/10. Turvanõrkus võimaldab autentimata ründajal koodi kaugkäivitada ja mõjutab neid kliente, kelle User-ID Authentication Portal on avatud avalikule internetile. Turvanõrkust on küberrünnakutes juba kuritarvitatud ja sellele ei ole veel parandust. Ettevõte on lubanud turvapaigad avaldada 13. maiks ning seni peaksid PA-seeria ja VM-seeria tulemüüride kasutajad lubama seadmetele ligipääsu vaid usaldusväärsetest võrkudest (SA, SW, BC).
Cisco parandas kaks suure mõjuga turvaviga
Cisco Unity Connectioni tarkvaras parandati kaks suure mõjuga turvaviga, mis võivad viia serveripoolse päringuvõltsimiseni (SSRF). Turvanõrkused kannavad tähiseid CVE-2026-20034 (CVSS-skoor 8,8/10) ja CVE-2026-20035 (CVSS-skoor 7,2/10). Viga seisneb kasutajasisendi puudulikus kontrollis ja HTTP-päringutes, mis võimaldavad autenditud ründajal juurõigustes käivitada suvalist koodi või võrgupäringuid saata (SW).
Androidis paigati kriitiline turvaviga
Google parandas kriitilise turvavea tähisega CVE-2026-0073 (CVSS-skoor 8,8/10), mis mõjutab Androidi süsteemikomponenti ja võimaldab ründajal käivitada pahaloomulist koodi. Viga on võimalik ära kasutada ilma kasutajapoolse tegevuseta, kuid teadaolevalt ei ole õnnestunud seda ründajatel teha. Kõigil Androidi nutiseadmete kasutajatel tuleks tarkvara uuendada esimesel võimalusel (SW, SA).
Nginx UI-s parandati kriitilised turvanõrkused
Nginxi kasutajaliideses parandati mitu kriitilist turvaviga. Turvanõrkus tähisega CVE-2026-42221 (CVSS-skoor 9,8/10) võimaldab autentimata ründajal saada administraatorkonto õigused. Lisaks parandati CVE-2026-42238 (CVSS-skoor 9,8/10), mis võimaldab autentimata ründajal rakenduse konfiguratsiooni üle kirjutada. Vead on parandatud Nginx UI versioonis 2.3.8. Lisaks viidatakse turvanõrkusele CVE-2026-42222 (CVSS-skoor 9,8/10), mille turvapaika pole avalikustatud (NIST, NIST).
Apache MINA ja HTTP Serveri tarkvaras parandati mitmeid haavatavusi
Apache avaldas turvapaigad enam kui tosinale turvaveale, mis mõjutavad HTTP Serveri ja MINA tarkvara. Parandatud vigade hulgas oli ka turvaviga tähisega CVE-2026-23918, mis võimaldab ründajal tõkestada teenuseid ja pahaloomulist koodi käivitada. Viga mõjutab Apache HTTP Serveri versiooni 2.4.66 ja on parandatud versioonis 2.4.67. MINA versioonides 2.2.7 ja 2.1.12 parandati kaks kriitilist turvaviga (SW, HN).
Google Chrome’i uues versioonis on parandatud 127 turvanõrkust
Google avaldas Chrome’i versiooni 148.0.7778.96 Windowsi, MacOS-i ja Linuxi seadmetele. Parandatud turvanõrkuste seas on kolm kriitilist ja enam kui 30 suure mõjuga haavatavust. Näiteks parandati viga tähisega CVE-2026-7908 (CVSS-skoor 9,6/10), mis võimaldas liivakastist põgeneda. Ettevõte ei täpsustanud, kas haavatavusi on püütud rünnete läbibiimisel ära kasutada. Soovitame Chrome’i uuendada esimesel võimalusel (SW, Chrome, NIST).
MOVEit Automationi tarkvaras parandati autentimisest möödamineku viga
Turvaviga tähisega CVE-2026-4670 (CVSS-skoor 9,8/10) on hinnatud kriitiliseks ja see mõjutab MOVEit Automationi versioone, mis on vanemad kui 2025.1.5, 2025.0.9 ja 2024.1.8. Progress Software’i sõnul kasutab nende MOVEit MFT lahendusi enam kui 3000 ettevõtet ja üle 100 000 kasutaja kogu maailmas. Ettevõte kutsub oma kliente üles tarkvara uuendama, kuna nimetatud turvaviga on võrdlemisi lihtsasti ärakasutatav (BC).
Qualcomm parandas mai turvauuendusega 10 turvanõrkust
Qualcomm parandas kümme turvanõrkust, millest kõige tõsisem on vigane autoriseerimine tähisega CVE-2026-25254 (CVSS-skoor 9,8/10). Mõjutatud versioonid on QSCv1.17.1, QSCv1.19.1 ja QSCv1.21.0. Mõjutatud toodete hulka kuuluvad Qualcomm Software Center, Boot PLC FW, WLAN HAL, WLAN Firmware ja WINBLAST-POWER. Soovitame kasutajatel tarkvara uuendada (Qualcomm).
Kriitiline turvanõrkus Gemini CLI-s võib viia koodi kaugkäivitamiseni
Gemini CLI-s parandati kriitiline turvanõrkus, millele pole CVE-tähist omistatud, kuid mille CVSS-skoor on maksimaalne 10/10. Turvaviga võimaldab ründajatel GitHub issue’ promptisüsti teel tarneahela rünnet läbi viia. Viga on parandatud Gemini CLI versioonis 0.39.1 (SW, Pillar).
CISA lisas uued turvanõrkused ära kasutatud turvanõrkuste andmebaasi
CISA lisas uued turvanõrkused enda hallatavasse ära kasutatavate turvanõrkuste andmebaasi. Soovitame mõjutatud toodete kasutajatel kindlasti kontrollida, et tarkvara oleks uuendatud uusimale versioonile ja lõppenud tööeaga tooted oleksid võrgust eemaldatud.
- CVE-2026-0300 (CVSS-skoor 9,8/10) – Palo Alto Networks PAN-OS-i piiridest väljuva lugemise turvanõrkus.
- CVE-2026-6973 (CVSS-skoor 7,2/10) – Ivanti Endpoint Manager Mobile’i (EPMM) vigase sisendikontrolli turvanõrkus.
- CVE-2026-42208 (CVSS-skoor 9,8/10) – BerriAI LiteLLM-i SQL-süsti turvanõrkus.
Loe lähemalt CISA hallatavast teadaolevalt ära kasutatavate turvanõrkuste kataloogist (CISA).
Artikli illustratsioon on loodud tehisintellekti tarkvaraga ChatGPT.
Soovid RIA blogipostitusi ja uudiseid oma postkasti? Meie RSS-vood leiad siit!
Vanemad blogipostitused (2014–2024) leiad veebiarhiivist.
Loomise kuupäev: 11.05.2026
