Обзор уязвимостей за прошедшую неделю (27 марта — 2 апреля)

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: CodeQL, GitHub, Wiz Research, Ingress NGINX, Kubernetes, AppSec Solutions, OpenAI, Mozilla, Firefox, Windows, CrushFTP, Google Chrome, Лаборатория Касперского.

Исследователи выявили уязвимость под названием CodeQLEAKED в системе статического анализа CodeQL, активно используемой на GitHub — одном из ведущих сервисов для размещения и совместной разработки программных проектов.

Команда Wiz Research нашла критические уязвимости в популярном инструменте маршрутизации трафика для Kubernetes — контроллере Ingress NGINX. Эксперты выяснили, что с его помощью злоумышленники способны полностью захватить управление над кластером.

По результатам исследования от AppSec Solutions, свыше 50% мобильных приложений российских банков имеют потенциально опасные уязвимости, которые могут быть использованы киберпреступниками.

Компания OpenAI увеличила максимальное вознаграждение за находку уязвимостей с 20 000 до 100 000 долларов. Это связано с планами делегировать поиск критически важных уязвимостей сторонним специалистам.

Mozilla представила обновление Firefox 136.0.4, в котором устранили опасную брешь в безопасности. Уязвимость позволяла нарушить изоляцию браузера на устройствах с Windows.

Эксперты в области информационной безопасности сообщили о новой уязвимости нулевого дня в Windows. С её помощью злоумышленники могут удалённо выманивать у жертв NTLM-хеши, заставляя их открывать вредоносные объекты через проводник.

Компания CrushFTP уведомила пользователей о критической проблеме, связанной с несанкционированным доступом к HTTP(S)-порту, и настоятельно рекомендовала немедленно применить обновления на всех уязвимых серверах.

В Google Chrome была устранена уязвимость нулевого дня (CVE-2025-2783), позволявшая выходить за пределы песочницы браузера. Эту проблему обнаружили специалисты из «Лаборатории Касперского».