За последние недели в мире кибербезопасности обнаружились серьезные угрозы, которые касаются безопасности миллионов пользователей и систем. Уязвимости в движке Blink браузеров на базе Chromium позволяют за секунды вывести их из строя, плагины безопасности Wordpress становятся инструментами для захвата сайтов, а ошибки в runC угрожают изоляции контейнеров Docker и Kubernetes. Рассказываем, что нужно знать о новых угрозах и как от них защититься.
Угроза для пользователей браузеров на базе Chromium
ИБ-исследователь Хосе Пино обнаружил серьезную уязвимость в движке Blink, которая позволяет за секунды вывести из строя многие браузеры на базе Chromium или вызвать зависание системы. Уязвимость подтверждена в браузерах на движке Chromium, начиная с версии 143.0.7483.0. В том числе в Microsoft Edge, Brave, Opera и Vivaldi, OpenAI ChatGPT Atlas, Perplexity Comet и другие. Исключение — Firefox, Safari, которые используют собственные движки — Gecko и WebKit соответственно.
Как работает атака. Проблема заключается в том, что Blink не ограничивает частоту обновлений API document.title. Это приводит к миллионам мутаций DOM в секунду: они перегружают CPU, приводя к внезапному завершению работы браузера и падению производительности системы.
Атака включает три этапа:
- Подготовка. В память загружаются данные для циклической смены заголовка вкладки.
- Инъекция. Скрипт выполняет массовые обновления document.title, создавая огромную нагрузку.
- Перегрузка. Главный поток браузера перегружается, что приводит к зависанию интерфейса, вкладок и последующему аварийному завершению работы.
Brash можно активировать по таймеру, превратив в логическую бомбу — достаточно кликнуть по вредоносной ссылке.
Защита пока только одна: не переходить по подозрительным ссылкам и закрывать зависшие вкладки. Разработчики Chromium планируют ограничить частоту обновлений document.title и улучшить управление ресурсами Blink.
Плагин безопасности Wordpress оказался уязвимым
В плагине Anti-Malware Security and Brute-Force Firewall для Wordpress обнаружена уязвимость CVE-2025-11705. Она позволяет пользователям с минимальными правами (например, подписчикам) читать любые файлы на сервере. Например, получить доступ к конфигурационному файлу wp-config.php, где хранится имя базы данных и учетные данные. В этом случае злоумышленник может украсть хеши паролей, email-адреса, содержимое постов и другие конфиденциальные данные, что может привести к полному захвату сайта.
Проблема — в функции GOTMLS_ajax_scan(), которая обрабатывает AJAX-запросы. В ней отсутствует проверка прав доступа — используется только nonce, который может перехватить атакующий. Это позволяет любому авторизованному пользователю вызвать функцию и прочитать критически важные файлы.
Сейчас плагин Anti-Malware Security and Brute-Force Firewall установлен более чем на 100 000 сайтов. Уязвимость затрагивает версии 4.23.81 и более ранние. Чтобы защититься, необходимо обновить плагин Anti-Malware Security and Brute-Force Firewall до версии 4.23.83 или выше, где добавлена проверка прав пользователя. Поскольку уязвимость уже раскрыта публично, атаки могут начаться в любой момент, поэтому обновление следует установить как можно скорее.
Уязвимость в плагине Wordpress ставит тысячи сайтов под удар
Злоумышленники атакуют сайты на Wordpress, используя критическую уязвимость CVE-2025-11833 в популярном плагине Post SMTP (более 400 000 установок), который применяется для отправки почты. Хакеры перехватывают письма для сброса паролей, получая полный контроль над ресурсами. Уязвимость затрагивает все версии плагина от 3.6.0 и выше.
Дело в том, что плагин передаёт логи писем по любому запросу без проверки прав. Это позволяет злоумышленникам читать письма для сброса паролей администраторов, переходить по ссылкам и захватывать учетные записи. Уязвимость оценивается в 9.8 баллов из 10 по шкале CVSS.
Для защиты необходимо срочно обновить плагин Post SMTP до версии 3.6.1, где эта уязвимость исправлена. Поскольку атаки уже фиксируются в активной фазе (тысячи попыток взлома), мы советуем не откладывать обновление.
Побег из контейнера: обнаружены три уязвимости в runC для Docker и Kubernetes
Инженер SUSE и член совета Open Container Initiative (OCI) Алекса Сарай обнаружил три критические уязвимости (CVE-2025-31133, CVE-2025-52565, CVE-2025-52881) в контейнерном рантайме runC — ключевом компоненте Docker и Kubernetes, отвечающем за низкоуровневые операции управления контейнерами.
Уязвимости связаны с манипуляцией символьными ссылками при монтировании файлов и позволяют злоумышленнику, имеющему возможность запускать контейнеры с кастомными настройками, обойти изоляцию и получить права root на хост-системе:
- CVE-2025-31133 — позволяет атакующему заменить /dev/null на символьную ссылку для записи произвольных данных в /proc.
- CVE-2025-52565 — через манипуляции с /dev/console и символьные ссылки возможна запись критических данных в procfs.
- CVE-2025-52881 — обход LSM-защиты позволяет перенаправлять запись данных в /proc на контролируемые файлы, включая опасные вроде /proc/sysrq-trigger.
Уязвимости требуют возможности настраивать монтирование в контейнерах через вредоносные образы или Dockerfile.
Как защититься:
- Обновить runC до версий 1.2.8, 1.3.3, 1.4.0-rc.3 или новее.
- Включить user namespace для всех контейнеров без предоставления root-прав хоста.
- Использовать rootless-контейнеры где это возможно.
- Мониторить подозрительную работу с символьными ссылками.
На текущий момент активных атак не зафиксировано, но лучше как можно скорее установить обновление.
Возможно, вам будет интересно
