CVE-2026-50751CVSS 9.3CISA KEVMail
Виявлено логічну помилку в перевірці сертифікатів Remote Access і Mobile Access у застарілому обміні ключами IKEv1, що дозволяє неавторизованому віддаленому зловмиснику обійти автентифікацію користувача та встановити VPN-з'єднання без дійсного пароля.
Оновлено: 2026-06-17
CVE-2026-0300CVSS 9.3CISA KEVFirewall
У PAN-OS від Palo Alto Networks виявлено критичну уразливість переповнення буфера в сервісі User-ID™ Authentication Portal, що дозволяє неавторизованому зловмиснику виконувати довільний код з правами root на фаєрволах PA-Series та VM-Series. Ризик знижуєтьс...
Оновлено: 2026-06-17
CVE-2026-10520CVSS 10.0CISA KEVVPN
В Ivanti Sentry виявлено критичну вразливість ін’єкції команд операційної системи, що дозволяє віддаленому неавторизованому користувачу виконувати код з правами root. Проблема присутня у версіях до R10.5.2, R10.6.2 та R10.7.1.
Оновлено: 2026-06-17
CVE-2008-4250CVSS 9.8CISA KEVWindows
Служба Server у Microsoft Windows 2000 SP4, XP SP2/SP3, Server 2003 SP1/SP2, Vista Gold/SP1, Server 2008 та 7 Pre-Beta містить критичну вразливість переповнення буфера, що дозволяє віддаленим зловмисникам виконувати довільний код через спеціально сформовани...
Оновлено: 2026-06-16
CVE-2026-33017CVSS 9.3CISA KEVRuntime
У Langflow до версії 1.9.0 існувала критична уразливість, що дозволяє неавторизованому користувачу виконувати довільний Python-код через API-ендпоінт для публічних потоків. Це призводить до віддаленого виконання коду без обмежень, що становить серйозну загр...
Оновлено: 2026-06-17
CVE-2026-41940CVSS 9.3CISA KEVCMS
У версіях cPanel і WHM після 11.40 виявлено вразливість, що дозволяє обходити автентифікацію під час входу. Це дає змогу неавторизованим віддаленим зловмисникам отримати доступ до панелі керування.
Оновлено: 2026-06-17
CVE-2026-39987CVSS 9.3CISA KEVRuntime
У версіях Marimo до 0.23.0 виявлено критичну вразливість віддаленого виконання коду через відсутність автентифікації на WebSocket кінцевій точці /terminal/ws. Зловмисник може отримати повний доступ до оболонки PTY і виконувати довільні системні команди без ...
Оновлено: 2026-06-17
CVE-2026-21643CVSS 9.8CISA KEVFirewall
У Fortinet FortiClient EMS версії 7.4.4 виявлено критичну уразливість SQL-ін’єкції, що дозволяє неавторизованому зловмиснику виконувати небажані команди через спеціально сформовані HTTP-запити. Ця вразливість має високий рівень небезпеки з оцінкою CVSS 9.8.
Оновлено: 2026-06-17
CVE-2026-35616CVSS 9.8CISA KEVFirewall
У Fortinet FortiClient EMS версій 7.4.5–7.4.6 виявлено критичну уразливість неправильного контролю доступу, що дозволяє неавторизованому зловмиснику виконувати несанкціонований код або команди через спеціально сформовані запити. Рівень загрози оцінено як кр...
Оновлено: 2026-06-17
CVE-2026-20253CVSS 9.8CISA KEVDatabase
У Splunk Enterprise версій нижче 10.2.4 (для 10.2) та нижче 10.0.7 (для 10) виявлено вразливість, що дозволяє неавторизованому користувачу створювати або обрізати файли через PostgreSQL sidecar service без автентифікації. Версії 9.4 і раніше не уразливі.
Оновлено: 2026-06-19
CVE-2026-20182CVSS 10.0CISA KEVNetwork
У травні 2026 року виявлено критичну уразливість в механізмі автентифікації Cisco Catalyst SD-WAN Controller, що дозволяє віддаленому неавторизованому зловмиснику отримати адміністративні права. Уразливість пов’язана з некоректною роботою аутентифікації пір...
Оновлено: 2026-06-17
CVE-2026-9082CVSS 9.8CISA KEVCMS
В ядрі Drupal виявлено критичну вразливість SQL-ін’єкції, що дозволяє зловмисникам виконувати небезпечні SQL-команди. Проблема торкається версій від 8.9.0 до 11.3.10 (з певними проміжними версіями).
Оновлено: 2026-06-17
CVE-2026-1340CVSS 9.8CISA KEVVPN
В Ivanti Endpoint Manager Mobile виявлено критичну вразливість ін’єкції коду, що дозволяє зловмисникам виконувати віддалене виконання коду без автентифікації. Рівень загрози оцінено як критичний (CVSS 9.8).
Оновлено: 2026-06-17
CVE-2026-48907CVSS 10.0CISA KEVWeb
У розширенні JCE для Joomla виявлено критичну вразливість, що дозволяє неавторизованим користувачам створювати нові профілі редактора, що може призвести до завантаження та виконання PHP-коду. Це створює серйозну загрозу безпеці веб-сайтів на базі Joomla.
Оновлено: 2026-06-17
CVE-2026-33634CVSS 9.4CISA KEVContainers
У березні 2026 року зловмисник використав скомпрометовані облікові дані для публікації шкідливої версії Trivy v0.69.4 та змінив більшість тегів версій у репозиторіях aquasecurity/trivy-action і aquasecurity/setup-trivy на шкідливі коміти. Ця атака є продовж...
Оновлено: 2026-06-17
CVE-2026-45247CVSS 9.3CISA KEVWeb
У Mirasvit Full Page Cache Warmer для Magento 2 версій до 1.11.12 виявлено критичну уразливість десеріалізації необроблених даних, що дозволяє неавторизованим зловмисникам виконувати довільний код на сервері через спеціально сформований PHP-об'єкт у cookie ...
Оновлено: 2026-06-17
CVE-2026-31431CVSS 7.8CISA KEVLinux
У ядрі Linux усунено вразливість, пов’язану з некоректною обробкою ресурсів у криптографічному модулі algif_aead. Зміни повертають роботу алгоритму до режиму поза місцем, що усуває складнощі та потенційні помилки при обробці даних.
Оновлено: 2026-07-01
CVE-2026-35273CVSS 9.8CISA KEVKnown Exploited
У версіях 8.61 та 8.62 Oracle PeopleSoft Enterprise PeopleTools виявлено критичну уразливість, що дозволяє неавторизованому зловмиснику з мережевим доступом через HTTP повністю контролювати систему. Успішна експлуатація може призвести до повного компрометац...
Оновлено: 2026-06-17
CVE-2026-0257CVSS 7.8CISA KEVFirewall
Виявлено уразливість обходу автентифікації в GlobalProtect порталі та шлюзі PAN-OS від Palo Alto Networks, що дозволяє зловмиснику встановити несанкціоноване VPN-з'єднання. Продукти Panorama та Cloud NGFW не постраждали від цієї проблеми.
Оновлено: 2026-06-17
CVE-2026-42208CVSS 9.3CISA KEVKnown Exploited
У версіях LiteLLM від 1.81.16 до 1.83.7 виявлено критичну SQL-ін’єкцію, що дозволяє неавторизованому зловмиснику отримати доступ до бази даних проксі-сервера. Уразливість виникає через неправильну обробку ключів API у запитах, що може призвести до витоку аб...
Оновлено: 2026-06-29
CVE-2026-3055CVSS 9.3CISA KEVKnown Exploited
У Citrix NetScaler ADC та NetScaler Gateway, налаштованих як SAML IDP, виявлено уразливість недостатньої перевірки вхідних даних, що призводить до читання пам’яті поза межами допустимого діапазону. Ця критична вразливість має високий рівень CVSS 9.3 і може ...
Оновлено: 2026-06-17
CVE-2026-34910CVSS 10.0CISA KEVKnown Exploited
Вразливість у UniFi OS від Ubiquiti дозволяє зловмиснику з доступом до мережі виконати ін’єкцію команд через неправильну перевірку введених даних. Це може призвести до повного контролю над пристроєм.
Оновлено: 2026-06-24
CVE-2026-48172CVSS 10.0CISA KEVKnown Exploited
Уразливість у плагіні LiteSpeed cPanel версій до 2.4.5 дозволяє зловмисникам підвищити привілеї, потенційно до рівня root. Вразливість активно експлуатувалась у травні 2026 року, пов’язана з некоректною обробкою функцій увімкнення/вимкнення Redis.
Оновлено: 2026-06-17
CVE-2026-45321CVSS 9.6CISA KEVDNS
11 травня 2026 року було опубліковано 84 шкідливі версії у 42 пакетах @tanstack/* у npm, використовуючи легітимну автентифікацію GitHub Actions. Зловмисник застосував складну атаку, що поєднує кілька відомих вразливостей, для публікації шкідливого коду під ...
Оновлено: 2026-06-17
CVE-2026-34197CVSS 8.8CISA KEVWeb
В Apache ActiveMQ виявлено критичну вразливість, що дозволяє автентифікованому зловмиснику виконувати довільний код через некоректну обробку введених даних у Jolokia JMX-HTTP мосту. Проблема стосується версій до 5.19.4 та 6.2.3 і пов’язана з можливістю зава...
Оновлено: 2026-06-30
CVE-2010-0249CVSS 8.8CISA KEVWindows
Уразливість use-after-free у Microsoft Internet Explorer версій 6, 7 та 8 дозволяє віддаленим зловмисникам виконувати довільний код через неправильне керування пам’яттю. Ця проблема була використана в атаках Operation Aurora у 2009-2010 роках.
Оновлено: 2026-06-16
CVE-2025-34291CVSS 9.4CISA KEVKnown Exploited
У Langflow версій до 1.6.9 виявлено критичну уразливість, що дозволяє зловмисникам отримати контроль над обліковим записом та виконувати довільний код віддалено. Проблема пов’язана з надмірно дозволеною CORS-конфігурацією та налаштуванням cookie, що дає змо...
Оновлено: 2026-06-17
CVE-2023-21529CVSS 8.8CISA KEVWindows
Виявлено критичну вразливість у Microsoft Exchange Server, що дозволяє віддалене виконання коду через десеріалізацію недовірених даних. Рівень загрози оцінено як високий (CVSS 8.8).
Оновлено: 2026-06-17
CVE-2009-1537CVSS 8.8CISA KEVWindows
Уразливість у QuickTime Movie Parser Filter в DirectX 7.0–9.0c на Windows 2000 SP4, XP SP2/SP3 та Server 2003 SP2 дозволяє віддаленим зловмисникам виконувати довільний код через спеціально створений QuickTime-файл. Проблема була активно експлуатована у трав...
Оновлено: 2026-06-16
CVE-2026-20230CVSS 8.6CISA KEVNetwork
Виявлено вразливість серверного підроблення запитів (SSRF) у Cisco Unified Communications Manager та його сесійній редакції, що дозволяє віддаленому неавторизованому зловмиснику надсилати шкідливі HTTP-запити. Успішна експлуатація може призвести до запису ф...
Оновлено: 2026-07-01
CVE-2026-6973CVSS 7.2CISA KEVVPN
У Ivanti Endpoint Manager Mobile (EPMM) до версій 12.6.1.1, 12.7.0.1 та 12.8.0.1 виявлено уразливість неправильної перевірки введення, що дозволяє віддаленому автентифікованому користувачу з адміністративним доступом виконувати довільний код на сервері.
Оновлено: 2026-06-17
CVE-2026-20245CVSS 7.8CISA KEVNetwork
Вразливість у CLI Cisco Catalyst SD-WAN Manager дозволяє автентифікованому локальному користувачу з правами netadmin виконувати довільні команди з правами root через завантаження спеціально сформованого файлу. Це пов’язано з недостатньою перевіркою введених...
Оновлено: 2026-06-17
CVE-2023-36424CVSS 7.8CISA KEVWindows
Виявлено вразливість у драйвері Windows Common Log File System, що дозволяє підвищення привілеїв через читання поза межами виділеної пам’яті. Уразливість має високий рівень небезпеки з оцінкою CVSS 7.8.
Оновлено: 2026-06-17
CVE-2010-0806CVSS 8.8CISA KEVWindows
Вразливість use-after-free у компоненті Peer Objects (iepeers.dll) в Microsoft Internet Explorer 6, 6 SP1 та 7 дозволяє віддаленим зловмисникам виконувати довільний код через доступ до недійсного вказівника після видалення об'єкта. Ця вразливість була викор...
Оновлено: 2026-06-16
CVE-2026-42271CVSS 8.7CISA KEVKnown Exploited
У версіях BerriAI LiteLLM від 1.74.2 до 1.83.7 виявлено уразливість ін’єкції команд через два кінцеві точки, що дозволяє автентифікованим користувачам запускати довільні команди на сервері проксі. Проблема виникає через недостатню перевірку ролей і використ...
Оновлено: 2026-06-30
CVE-2026-32202CVSS 4.3CISA KEVWindows
Уразливість у механізмі захисту Windows Shell дозволяє неавторизованому зловмиснику виконувати спуфінг у мережі. Це може призвести до обману систем безпеки та потенційного компрометування даних.
Оновлено: 2026-06-17
CVE-2009-0238CVSS 8.8CISA KEVWindows
Уразливість у Microsoft Office Excel (версії 2000 SP3, 2002 SP3, 2003 SP3, 2007 SP1 та відповідних переглядачах) дозволяє віддаленим зловмисникам виконувати довільний код через спеціально створений Excel-документ. Ця вразливість була використана в реальних ...
Оновлено: 2026-06-16
CVE-2012-1854CVSS 7.8CISA KEVWindows
Уразливість у VBE6.dll Microsoft Visual Basic for Applications (VBA) дозволяє локальним користувачам підвищувати привілеї шляхом завантаження шкідливої DLL з поточного робочого каталогу. Проблема торкається Microsoft Office 2003 SP3, 2007 SP2/SP3 та 2010 Go...
Оновлено: 2026-06-16
CVE-2026-28318CVSS 7.5CISA KEVKnown Exploited
У SolarWinds Serv-U виявлено уразливість, що дозволяє спеціально сформованим POST-запитам з Content-Encoding: deflate викликати аварійне завершення роботи сервісу без автентифікації. Це може призвести до відмови в обслуговуванні.
Оновлено: 2026-06-17
CVE-2026-42897CVSS 8.1CISA KEVWindows
У Microsoft Exchange Server виявлено уразливість типу міжсайтового скриптингу (XSS), що виникає через неправильну обробку введених даних під час генерації веб-сторінок. Це дозволяє неавторизованому зловмиснику виконувати атаки з підміною даних у мережі.
Оновлено: 2026-06-17
CVE-2026-34908CVSS 10.0CISA KEVKnown Exploited
Зловмисник із доступом до мережі може скористатися уразливістю неправильного контролю доступу в пристроях UniFi OS для несанкціонованих змін у системі. Ця критична вразливість має максимальний бал CVSS 10.0 і визнана експлуатованою.
Оновлено: 2026-06-24
CVE-2026-34909CVSS 10.0CISA KEVKnown Exploited
Вразливість обходу шляху в пристроях Ubiquiti UniFi OS дозволяє зловмиснику з доступом до мережі отримати доступ до файлів системи, що може призвести до компрометації облікових записів. Ця критична уразливість має максимальний бал CVSS 10.0 і визнана експлу...
Оновлено: 2026-06-24
CVE-2026-48027CVSS 9.3CISA KEVKnown Exploited
18 травня 2026 року у Visual Studio Marketplace було опубліковано шкідливу версію Nx Console 18.95.0, яка була доступна близько 18 хвилин. Аналогічна версія була доступна у OpenVSX близько 36 хвилин. Версія 18.100.0 не містить уразливості і рекомендується д...
Оновлено: 2026-06-17
CVE-2024-27199CVSS 7.3CISA KEVKnown Exploited
У JetBrains TeamCity версій до 2023.11.4 виявлено вразливість обходу відносного шляху, що дозволяє виконувати обмежені адміністративні дії. Ця проблема має високий рівень серйозності (CVSS 7.3) і вже відома як експлуатована.
Оновлено: 2026-06-17
CVE-2024-7399CVSS 8.8CISA KEVKnown Exploited
У Samsung MagicINFO 9 Server версій до 21.1050 виявлено вразливість обходу шляху, що дозволяє зловмисникам записувати довільні файли з правами системи. Це може призвести до несанкціонованого доступу та зміни критичних файлів.
Оновлено: 2026-06-17
CVE-2024-1708CVSS 8.4CISA KEVKnown Exploited
У версіях ConnectWise ScreenConnect 23.9.7 та раніших виявлено вразливість обходу шляху, що може дозволити зловмиснику виконувати віддалений код або отримати доступ до конфіденційних даних і критичних систем. Ця вразливість має високий рівень небезпеки (CVS...
Оновлено: 2026-06-17
CVE-2025-29635CVSS 7.2CISA KEVKnown Exploited
Вразливість ін’єкції команд у пристроях D-Link DIR-823X (версії 240126 та 240802) дозволяє авторизованому зловмиснику виконувати довільні команди на віддаленому пристрої через POST-запит до /goform/set_prohibiting. Це може призвести до повного контролю над ...
Оновлено: 2026-06-17
CVE-2009-3459CVSS 8.8CISA KEVKnown Exploited
В Adobe Acrobat і Reader версій 7.x до 7.1.4, 8.x до 8.1.7 та 9.x до 9.2 виявлено переповнення буфера в купі, що дозволяє віддаленим зловмисникам виконувати довільний код через спеціально створений PDF-файл. Ця вразливість була активно використана у жовтні ...
Оновлено: 2026-06-16
CVE-2023-27351CVSS 7.5CISA KEVKnown Exploited
Вразливість у PaperCut NG версії 22.0.5 дозволяє віддаленим зловмисникам обходити автентифікацію без необхідності введення облікових даних. Проблема пов’язана з неправильною реалізацією алгоритму автентифікації в класі SecurityRequestFilter.
Оновлено: 2026-06-17
CVE-2026-45498CVSS 4.0CISA KEVWindows
Виявлено уразливість середньої важкості в Microsoft Defender, яка може призвести до відмови в обслуговуванні (DoS). Ця проблема може вплинути на стабільність роботи системи при обробці певних даних.
Оновлено: 2026-06-17
CVE-2024-21182CVSS 7.5CISA KEVKnown Exploited
Вразливість у Oracle WebLogic Server версій 12.2.1.4.0 та 14.1.1.0.0 дозволяє неавторизованому зловмиснику з мережею доступом через T3 або IIOP отримати критичний доступ до даних сервера. Оцінка CVSS 3.1 становить 7.5, що вказує на високий рівень ризику для...
Оновлено: 2026-06-17
CVE-2020-9715CVSS 7.8CISA KEVKnown Exploited
У версіях Adobe Acrobat і Reader до 2020.009.20074, 2020.001.30002, 2017.011.30171 та 2015.006.30523 виявлено вразливість типу use-after-free. Успішна експлуатація може призвести до виконання довільного коду на уразливій системі.
Оновлено: 2026-06-17
CVE-2026-32201CVSS 6.5CISA KEVWindows
У Microsoft Office SharePoint виявлено уразливість, пов’язану з неправильною перевіркою введених даних, що дозволяє неавторизованому зловмиснику виконувати спуфінг у мережі. Ця проблема має середній рівень критичності з оцінкою CVSS 6.5.
Оновлено: 2026-06-17
CVE-2026-20133CVSS 6.5CISA KEVNetwork
У Cisco Catalyst SD-WAN Manager виявлено уразливість, що дозволяє неавторизованому віддаленому зловмиснику переглядати конфіденційну інформацію через недостатні обмеження файлової системи. Зловмисник з правами netadmin може отримати доступ до vshell і прочи...
Оновлено: 2026-06-17
CVE-2024-57726CVSS 9.9CISA KEVKnown Exploited
У програмному забезпеченні SimpleHelp версії 5.5.7 і раніше виявлено критичну уразливість, що дозволяє технікам з низькими привілеями створювати API-ключі з надмірними правами. Використання таких ключів може призвести до підвищення привілеїв до рівня адміні...
Оновлено: 2026-06-17
CVE-2026-41091CVSS 7.8CISA KEVWindows
У Microsoft Defender виявлено уразливість неправильного розв’язання посилань перед доступом до файлів, що дозволяє авторизованому зловмиснику підвищити локальні привілеї. Ця проблема має високий рівень критичності з оцінкою CVSS 7.8.
Оновлено: 2026-06-17
CVE-2026-33825CVSS 7.8CISA KEVWindows
У Microsoft Defender виявлено уразливість недостатньої деталізації контролю доступу, що дозволяє авторизованому користувачу підвищити свої привілеї локально. Це може призвести до розширення прав доступу без додаткової аутентифікації.
Оновлено: 2026-06-17
CVE-2022-0492CVSS 7.8CISA KEVLinux
Виявлено уразливість у функції cgroup_release_agent_write ядра Linux, що дозволяє зловмисникам за певних умов підвищити привілеї та обійти ізоляцію простору імен через механізм release_agent у cgroups v1.
Оновлено: 2026-06-17
CVE-2026-20128CVSS 7.5CISA KEVNetwork
У Cisco Catalyst SD-WAN Manager виявлено уразливість, що дозволяє віддаленому неавторизованому зловмиснику отримати права користувача Data Collection Agent (DCA) через доступ до файлу з паролем у відновлюваному форматі. Уразливість усунена в релізах 20.18 і...
Оновлено: 2026-06-17
CVE-2025-60710CVSS 7.8CISA KEVWindows
У компоненті Host Process for Windows Tasks виявлено уразливість неправильного розв’язання посилань перед доступом до файлів, що дозволяє авторизованому зловмиснику підвищити свої привілеї локально. Ця проблема має високий рівень критичності з оцінкою CVSS ...
Оновлено: 2026-06-17