Oracle avaldas kriitilise turvauuenduse mitmele tootele
Oracle avaldas erakorralise turvauuenduse, millega parandatakse 35 turvanõrkust. Kõige kriitilisem on Oracle REST Data Servicesi haavatavus CVE-2026-46840 (CVSS-skoor 10/10), mida saab ründaja ilma autentimiseta ära kasutada. Parandatud turvanõrkused võimaldavad koodi käivitamist, andmetele ligipääsu, andmetega manipuleerimist või teenuse töö häirimist. Mõjutatud toodete hulgas on Oracle Communications Unified Assurance, Oracle Database Server, Oracle E-Business Suite, Oracle Hospitality OPERA 5 Property Services ja Oracle REST Data Services. Oracle soovitab kasutajatel turvapaigad esimesel võimalusel paigaldada, kuna edukas rünne võib süsteemidele tõsist mõju avaldada (Oracle).
Microsoft parandas SharePoint Serveri kriitilise turvanõrkuse
Microsoft avaldas turvauuenduse SharePoint Serveri haavatavusele CVE-2026-45659 (CVSS-skoor 8,8/10). Tegemist on usaldamatute andmete objektimise turvanõrkusega, mis võimaldab autenditud ründajal võrgu kaudu koodi kaugkäivitada. Microsofti sõnul saab haavatavust ära kasutada ründaja, kellel on vähemalt Site Member õigused ning rünne ei nõua administraatoriõigusi. Viga mõjutab ka SharePoint Server 2016 kasutajaid. Soovitame SharePointi kasutajatel turvauuendused esimesel võimalusel paigaldada (Microsoft, DR).
Roundcube Webmailis parandati mitu turvanõrkust
Roundcube avaldas versioonid 1.6.16 ja 1.7.1, millega parandati mitu turvanõrkust. Turvavead võimaldavad XSS-rünnet, CSS-süsti, autentimiseelset SQL-süsti, serveripoolset päringu võltsimist, kohalike aadresside päringute piirangutest möödumist, failide kustutamist ja koodisüsti. Soovitame Roundcube Webmaili kasutajatel uuendada tarkvara versioonile 1.6.16 või 1.7.1 (Roundcube).
Palo Alto GlobalProtect VPN-i turvanõrkust kasutatakse aktiivselt rünnakutes
Palo Alto Networks hoiatas, et PAN-OS-i GlobalProtect portaali turvanõrkust CVE-2026-0257 (CVSS-skoor 9,8/10) kasutatakse rünnetes ära. Viga võimaldab ründajal turvapiirangutest mööduda ja luua seadmes volitamata VPN-ühendus. Haavatavust saab ära kasutada juhul, kui seadmes on lubatud authentication override cookies funktsioon ja kasutusel on kindel sertifikaadikonfiguratsioon. Palo Alto Networks soovitab kasutajatel turvauuendused kohe paigaldada. Leevendusmeetmena saab välja lülitada authentication override funktsiooni või kasutada selle jaoks eraldi sertifikaati, mida ei jagata teiste seadme teenustega. CISA lisas haavatavuse ära kasutatud turvanõrkuste andmebaasi (BC).
NVIDIA parandas GPU Display Driveri turvanõrkused
NVIDIA avaldas mai turvauuenduse GPU Display Driveri tarkvarale. Parandatud vigade hulgas on mitu suure mõjuga haavatavust, mille CVSS-skoor on 8,8/10. Turvanõrkused on seotud näiteks mäluhalduse, puuduliku sisendikontrolli ja õiguste kontrollimisega. Eduka ründe korral võib ründaja põhjustada teenusetõkestuse, saada ligipääsu tundlikule infole, manipuleerida andmetega või saavutada kõrgemad õigused mõjutatud süsteemis. NVIDIA soovitab kasutajatel laadida parandatud draiverid alla NVIDIA Driver Downloads lehelt (NVIDIA).
IBM parandas mitmed turvanõrkused
IBM avaldas turvauuendused IBM HTTP Serveri, WebSphere Application Serveri ja WebSphere Application Server Liberty haavatavustele. Haavatavused võivad võimaldada koodi kaugkäivitamist ja HTTP-päringute rünnet, kui kasutusel on valikuline Web Server komponent. Soovitame mõjutatud IBM-i toodete kasutajatel tootja avaldatud parandused paigaldada (IBM).
Samuti parandas IBM Engineering Lifecycle Managementi Jazz Foundationi komponendis mitu turvanõrkust. Kõige tõsisem on CVE-2026-3660 (CVSS-skoor 9,8/10), mis võimaldab autentimisest möödumist. Soovitame IBM Engineering Lifecycle Managementi kasutajatel tootja turvauuendused paigaldada (IBM).
OpenVPN Connectis parandati õiguste vallutuse turvanõrkus
OpenVPN Connecti macOS-i versioonides 3.5.1 kuni 3.8.1 avalikustati õiguste vallutuse turvanõrkus CVE-2026-9560 (CVSS-skoor 9,4/10). Haavatavus võimaldab lokaalsel ründajal IPC-kanali kaudu käivitada suvalisi käske kõrgendatud õigustes. Soovitame OpenVPN Connecti kasutajatel tarkvara uuendada parandatud versioonile (NIST).
Google MCP Toolbox’is parandati turvameetmest möödumise viga
Google MCP Toolbox for Databases’is parandati turvanõrkus CVE-2026-9739 (CVSS-skoor 9,4/10), mis võib võimaldada DNS-välgatuse (rebinding) rünnet olukorras, kus kasutatakse SSE-ühendust. Haavatavus mõjutab kasutajaid, kes ühenduvad Toolboxiga SSE kaudu ning kasutavad versiooni v2024-11-05. Soovitame mõjutatud kasutajatel uuendada tarkvara parandatud versioonile ja kontrollida SSE kasutust ning hosti seadistusi (GitHub).
Apache Ignite’is parandati failide lugemist võimaldav turvanõrkus
Apache Ignite’i REST API-s parandati kataloogihüppe turvanõrkus CVE-2025-48977 (CVSS-skoor 8,5/10). Viga võimaldab autenditud REST API kasutajal lugeda serverist suvalisi faile. Haavatavus mõjutab Apache Ignite’i versioone 2.0.0 kuni 2.17.0. Apache soovitab kasutajatel uuendada tarkvara versioonile 2.18.0, kus viga on parandatud (NIST).
CISA lisas uued turvanõrkused ära kasutatud turvanõrkuste andmebaasi
CISA lisas uued turvanõrkused enda hallatavasse ära kasutatavate turvanõrkuste andmebaasi. Soovitame mõjutatud toodete kasutajatel kindlasti kontrollida, et tarkvara oleks uuendatud uusimale versioonile ja lõppenud tööeaga tooted oleksid võrgust eemaldatud.
- CVE-2026-48172 (CVSS-skoor 9,8/10) - LiteSpeed cPanel Plugini õiguste vallutuse turvanõrkus.
- CVE-2026-48027 (CVSS-skoor 9,8/10) - Nx Console’i sisseehitatud pahatahtliku koodi turvanõrkus.
- CVE-2026-45321 (CVSS-skoor 9,6/10) - TanStacki täpsustamata turvanõrkus.
- CVE-2026-8398 (CVSS-skoor 9,8/10) - DAEMON Tools Lite’i sisseehitatud pahatahtliku koodi turvanõrkus.
- CVE-2026-0257 (CVSS-skoor 9,8/10) - Palo Alto Networks PAN-OS’i autentimisest möödumise turvanõrkus.
Loe lähemalt CISA hallatavast teadaolevalt ära kasutatavate turvanõrkuste kataloogist (CISA).
Artikli loomisel on kasutatud GPT-5.5 abi. Artikli illustratsioon on loodud tehisintellekti tarkvaraga ChatGPT.
Soovid RIA blogipostitusi ja uudiseid oma postkasti? Meie RSS-vood leiad siit!
Vanemad blogipostitused (2014–2024) leiad veebiarhiivist.
Loomise kuupäev: 01.06.2026
