Logo

Olulisemad turvanõrkused 2026. aasta 21. nädalal: Cisco, Drupal, Chrome jt

Cisco parandas maksimaalse kriitilisusega Secure Workloadi turvanõrkuse. Trend Micro Endpointi toodetes parandati mitu turvanõrkust. Drupal avaldas erakorralise turvauuenduse. Microsoft parandas Defenderi nullpäeva turvanõrkused. Chrome’is parandati mitu turvanõrkust. Ubiquiti UniFi OS-is parandati mitu kriitilist turvanõrkust. NGINXis parandati kriitiline ngx_http_rewrite_module’i haavatavus. Mattermostis parandati mitu turvanõrkust. Apache Forys parandati andmete objektimise turvanõrkus. Docker Desktopis parandati mitu suure mõjuga turvanõrkust. Linuxi kerneli turvanõrkusele avaldati kontseptsiooni tõendus. CISA lisas uued turvanõrkused ära kasutatud turvanõrkuste andmebaasi.

Cisco parandas maksimaalse kriitilisusega Secure Workloadi turvanõrkuse 

Cisco avaldas turvauuendused Secure Workloadi haavatavusele tähisega CVE-2026-20223, mille CVSS-skoor on 10/10. Turvaviga mõjutab Secure Workloadi sisemisi REST API-sid ja võimaldab autentimata ründajal saada ligipääsu Site Admini kasutaja õigustes. Eduka ründe korral saab ründaja lugeda tundlikku infot ja teha konfiguratsioonimuudatusi. Viga mõjutab versioone 4.0, 3.10, 3.9 ja varasemaid. Cisco sõnul puuduvad haavatavusele leevendusmeetmed ning ettevõte soovitab esimesel võimalusel paigaldada turvauuendus. Pilvepõhises Cisco Secure Workload SaaS-teenuses on viga juba parandatud. Ei ole leitud tõendeid, et turvanõrkust oleks enne avaldamist rünnetes ära kasutatud (BC, Cisco). 

Trend Micro Endpointi toodetes parandati mitu turvanõrkust 

Trend Micro Endpointi ettevõtetele mõeldud toodetes parandati mitu turvanõrkust, millest ühte on rünnetes ära kasutatud. Turvanõrkus CVE-2026-34926 (CVSS-skoor 6,7/10) on Apex One serveri kataloogihüppe viga ning Trend Micro teatel on nähtud selle ärakasutamist rünnetes. Lisaks parandati mitu Security Agenti turvanõrkust, mis võimaldavad õiguste vallutust. Mõjutatud tarkvarad on TrendAI Apex One, Trend Micro Apex One as a Service ja TrendAI Vision One Endpoint Security Standard Endpoint Protection. Soovitame kasutajatel paigaldada tootja avaldatud parandused (BC). 

Microsoft parandas Defenderi nullpäeva turvanõrkused 

Microsoft avaldas parandused kahele Microsoft Defenderi turvanõrkusele, mida on rünnetes ära kasutatud. Esimene neist on CVE-2026-41091 (CVSS-skoor 7,8/10), mis võimaldab lokaalsel ründajal saada SYSTEM õigused. Teine turvaviga tähisega CVE-2026-45498 (CVSS-skoor 4,0/10) võimaldab teenusetõkestust. Mõlemad vead on parandatud Microsoft Defender Antimalware Platformi versioonis 4.18.26040.7. Microsofti sõnul ei ole süsteemid haavatavad, kui Microsoft Defender on välja lülitatud. CISA lisas mõlemad vead teadaolevalt ära kasutatud turvanõrkuste kataloogi (SW). 

Drupal avaldas erakorralise turvauuenduse 

Drupal avaldas turvauuendused suure mõjuga turvanõrkusele tähisega CVE-2026-9082 (CVSS-skoor 9,8/10). Viga mõjutab Drupal Core’i andmebaasi ja võimaldab spetsiaalselt koostatud päringute abil SQL-süsti PostgreSQLi kasutavatel veebilehtedel. Eduka ründe korral võib haavatavus viia teabepaljangu, õiguste vallutuse või pahaloomulise koodi käivitamiseni. Turvanõrkust saab ära kasutada autentimata kasutaja ning parandused on avaldatud versioonides 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 ja 10.4.10. Drupali versioonid 8 ja 9 on oma eluea lõppu jõudnud ja nende versioonide uuendused tuleb käsitsi paigaldada. Drupal 7 ei ole mõjutatud. CISA lisas haavatavuse ära kasutatud turvanõrkuste andmebaasi. Soovitame kõigil Drupali haldajatel tarkvara uuendada esimesel võimalusel (SA, Drupal, THN). 

Microsoft parandas Defenderi nullpäeva turvanõrkused 

Microsoft avaldas parandused kahele Microsoft Defenderi turvanõrkusele, mida on rünnetes ära kasutatud. Esimene neist on CVE-2026-41091 (CVSS-skoor 7,8/10), mis võimaldab lokaalsel ründajal saada SYSTEM õigused. Teine turvaviga tähisega CVE-2026-45498 (CVSS-skoor 4,0/10) võimaldab teenusetõkestust. Mõlemad vead on parandatud Microsoft Defender Antimalware Platformi versioonis 4.18.26040.7. Microsofti sõnul ei ole süsteemid haavatavad, kui Microsoft Defender on välja lülitatud. CISA lisas mõlemad vead teadaolevalt ära kasutatud turvanõrkuste kataloogi (SW). 

 

Ubiquiti UniFi OS-is parandati mitu kriitilist turvanõrkust 

Ubiquiti avaldas turvauuendused UniFi OS-i haavatavustele, millest mitu on hinnatud maksimaalse CVSS-skooriga. Turvavead CVE-2026-34908 (CVSS-skoor 10,0/10), CVE-2026-34909 (CVSS-skoor 10,0/10) ja CVE-2026-34910 (CVSS-skoor 10,0/10) võimaldavad võrguligipääsuga ründajal teha süsteemis volitamata muudatusi, kasutada kataloogihüppe turvanõrkust või käivitada käsusüsti. Soovitame UniFi OS-i kasutajatel paigaldada tootja avaldatud parandused esimesel võimalusel (Ubiquiti). 

Chrome’is parandati mitu turvanõrkust 

Google avaldas Chrome’i versioonid 148.0.7778.178/179 Windowsi ja macOS-i seadmetele ning 148.0.7778.178 Linuxile. Uuendus parandab 16 turvaviga, sealhulgas kriitilised haavatavused CVE-2026-9111 (CVSS-skoor 8,8/10) ja CVE-2026-9110 (CVSS-skoor 8,8/10). Lisaks parandati mitu suure mõjuga viga. Google ei maini, et turvanõrkusi oleks rünnetes ära kasutatud. Soovitame Chrome’i uuendada (Chrome). 

Mattermostis parandati mitu turvanõrkust 

Mattermost avaldas mai turvauuendused mitmele haavatavusele. Kõige tõsisem on CVE-2026-4858 (CVSS-skoor 9,9/10), mille kaudu saab autenditud ründaja kasutada integratsiooni tegevuse URL-is kataloogihüpet ja käivitada suvalisi API-päringuid süsteemiadministraatori autentimistõendiga. Lisaks parandati madalama mõjuga haavatavused. Soovitame Mattermosti kasutajatel uuendada tarkvara paigatud versioonile (Mattermost). 

NGINXis parandati kriitiline ngx_http_rewrite_module’i haavatavus 

NGINX Plusis ja NGINX Open Source’is parandati turvanõrkus CVE-2026-9256 (CVSS-skoor 9,2/10), mis mõjutab ngx_http_rewrite_module’i. Autentimata ründaja saab spetsiaalselt koostatud HTTP-päringute abil põhjustada NGINXi tööprotsessis kuhjapõhise puhvri ületäitumise, mis võib viia protsessi taaskäivitumiseni. Viga võib võimaldada ka koodi käivitamist. Soovitame NGINXi kasutajatel tarkvara uuendada ja mõjutatud rewrite-konfiguratsioonid üle vaadata (F5). 

Apache Forys parandati andmete objektimise turvanõrkus 

Apache Fory projektis parandati haavatavus CVE-2026-48207 (CVSS-skoor 9,8/10), mis mõjutab pyfory versioone 0.13.0 kuni 0.17.0. Viga võimaldab ebausaldusväärsete andmete objektimisel mööduda dokumenteeritud DeserializationPolicy kontrollist Python-native režiimis, kui kasutusel on strict=False. Haavatavad on rakendused, mis töötlevad ründaja kontrollitud serialiseeritud andmeid ja tuginevad DeserializationPolicy seadistusele ohtlike klasside, funktsioonide või mooduliatribuutide piiramiseks. Apache soovitab uuendada pyfory versioonile 1.0.0 või uuemale (Apache). 

Docker Desktopis parandati mitu suure mõjuga turvanõrkust 

Docker Desktopis parandati mitu suure mõjuga haavatavust. CVE-2026-6406 (CVSS-skoor 8,8/10) võimaldab mööduda Enhanced Container Isolationi piirangutest ja anda konteinerile ligipääsu Docker Engine’i soklile. See võib lubada ligipääsu registrite autentimistõenditele ja õiguste laiendamist hostis. Lisaks mõjutavad Docker Model Runnerit turvavead, mille kaudu saab pahatahtliku mudeli abil käivitada koodi Docker Desktopi kasutaja õigustes macOS-i hostis. Soovitame Docker Desktopi kasutajatel uuendada tarkvara viimasele versioonile ja kontrollida Model Runneri kasutust (Docker).

Linuxi kerneli turvanõrkusele avaldati kontseptsiooni tõendus 

Linuxi kerneli turvanõrkusele CVE-2026-31635 (CVSS-skoor 7,5/10) avaldati kontseptsiooni tõendus, mis võimaldab lokaalsel ründajal saada juurkasutaja õigused. Turvaviga on seotud rxgk-mooduliga ja paikneb funktsioonis rxgk_decrypt_skb(). Haavatavus on sarnane hiljuti avalikustatud Copy Faili, Dirty Fragi ja Fragnesia vigadega ning võib teatud tingimustel võimaldada kirjutamist protsesside mällu või failide lehevahemällu. Mõjutatud Linuxi süsteemide haldajatel tuleks kontrollida kerneli turvapaikade olemasolu ja need paigaldada (THN). 

CISA lisas uued turvanõrkused ära kasutatud turvanõrkuste andmebaasi

CISA lisas uued turvanõrkused enda hallatavasse ära kasutatavate turvanõrkuste andmebaasi. Soovitame mõjutatud toodete kasutajatel kindlasti kontrollida, et tarkvara oleks uuendatud uusimale versioonile ja lõppenud tööeaga tooted oleksid võrgust eemaldatud. 

  • CVE-2008-4250 (CVSS-skoor 9,8/10) - Microsoft Windowsi puhvri ületäitumise turvanõrkus.
  • CVE-2009-1537 (CVSS-skoor 8,8/10) - Microsoft DirectXi tühimärgi (NULL byte) ülekirjutamise turvanõrkus.
  • CVE-2009-3459 (CVSS-skoor 8,8/10) - Adobe Acrobat and Readeri kuhjapõhise puhvri ületäitumise turvanõrkus.
  • CVE-2010-0249 (CVSS-skoor 8,8/10) - Microsoft Internet Exploreri mälu järelkasutusvea turvanõrkus.
  • CVE-2010-0806 (CVSS-skoor 8,8/10) - Microsoft Internet Exploreri mälu järelkasutusvea turvanõrkus.
  • CVE-2026-41091 (CVSS-skoor 7,8/10) - Microsoft Defenderi lingi järgimise (link following) turvanõrkus.
  • CVE-2026-45498 (CVSS-skoor 7,5/10) - Microsoft Defenderi teenusetõkestuse turvanõrkus.
  • CVE-2025-34291 (CVSS-skoor 8,8/10) - Langflow päritolu vigase valideerimise turvanõrkus.
  • CVE-2026-34926 (CVSS-skoor 6,7/10) - Trend Micro Apex One (On-Premise) kataloogihüppe turvanõrkus.
  • CVE-2026-9082 (CVSS-skoor 9,8/10) - Drupal Core’i SQL-süsti turvanõrkus. 
     

Loe lähemalt CISA hallatavast teadaolevalt ära kasutatavate turvanõrkuste kataloogist (CISA).

Artikli sisu ja illustratsiooni loomisel on kasutatud GPT-5.5 abi.

Soovid RIA blogipostitusi ja uudiseid oma postkasti? Meie RSS-vood leiad siit!

Vanemad blogipostitused (2014–2024) leiad veebiarhiivist.

Turvanõrkus Küberturvalisus Soovitused

Loomise kuupäev: 25.05.2026

open graph image
KÕIK BLOGIPOSTITUSED