Январь выдался относительно спокойным месяцем в мире кибербезопасности. В регулярном обзоре рассказываем о трёх уязвимостях месяца, которые требуют внимания.
Критическая уязвимость в плагине Modular DS WordPress
В плагине WordPress Modular DS обнаружена критическая уязвимость (CVE-2026-23550), позволяющая без аутентификации повысить привилегии до администратора. Она затрагивает все версии плагина до 2.5.1 включительно и набрала 10 баллов из 10 по шкале CVSS. Сейчас плагин установлен на более чем 40 000 сайтов, а 13 января 2026 года зафиксировали первые активные атаки с использованием этой уязвимости.
Корень проблемы — в ошибке механизма маршрутизации плагина. Чувствительные маршруты с префиксом /api/modular-connector/ (например, /login/, /backup/) должны быть защищены, но защиту можно обойти, если на сайте включен режим «прямого запроса». Например, для обхода достаточно отправить запрос с параметрами origin=mo и любым значением type (например, origin=mo&type=xxx). Система воспринимает такой запрос как легитимный от сервиса Modular и пропускает проверку аутентификации. Это позволяет злоумышленнику получить доступ к защищенным эндпоинтам.
Самый опасный маршрут — /api/modular-connector/login/, который позволяет атакующему получить права администратора WordPress, и скомпрометировать сайт: внедрить вредоносный код, разместить на ресурсе малварь или перенаправить посетителей на фишинговые страницы. На практике злоумышленники уже использовали этот метод для создания новых административных учётных записей (например, с логином backup).
Основной и обязательный способ защиты — немедленно обновить плагин Modular DS до исправленной версии 2.5.2. Также разработчики рекомендуют проверить сайты на признаки компрометации:
- появление новых пользователей с административными правами;
- наличие в логах подозрительных запросов к
/api/modular-connector/от автоматических сканеров.
Zero-click уязвимость в Android-прошивке Pixel 9, затрагивающая широкий спектр устройств и ОС
Исследователи из Google Project Zero создали эксплойт для смартфонов Google Pixel 9. Он позволяет удалённо выполнить произвольный код с правами ядра операционной системы, отправив SMS или RCS-сообщение со звуковым вложением. Атака не требует никаких действий от пользователя (zero-click) — достаточно получения сообщения.
Эксплойт основан на последовательном использовании двух уязвимостей:
- CVE-2025-54957 в библиотеке Dolby Unified Decoder (libcodec2_soft_ddpdec.so). При автоматической обработке полученного звукового вложения (например, для создания транскрипции AI-помощником в Google Messages) возникает целочисленное переполнение. Это позволяет выйти за границы буфера и перезаписать критический указатель, что в итоге приводит к выполнению кода атакующего в привилегированном контексте процесса mediacodec.
- CVE-2025-36934 в драйвере ядра Linux bigwave. Из контекста mediacodec атакующий код получает доступ к уязвимому драйверу
/dev/bigwave, специфичному для прошивки Pixel. Через уязвимость в ioctl-вызове он перезаписывает структуры ядра, что в итоге даёт полный контроль над системой с наивысшими привилегиями.
Ключевую роль играет автоматическая обработка медиафайлов современными системами (AI-помощники, транскрипция), что превращает атаку в «zero-click».
Первая уязвимость (в библиотеке Dolby Unified Decoder) также проявляется в других платформах (Samsung S24, MacBook Air M1, iPhone 17 Pro, Windows, ChromeOS и т.п.). Анализ возможности создания подобных эксплоитов для других платформ и Android-прошивок пока не проводился.
Что предпринять для защиты:
- Установить обновления безопасности — это основной метод. Исправления для библиотеки Dolby и ядра уже выпущены Google (5 января для Pixel) и Samsung (12 ноября). Пользователям других ОС и устройств нужно следить за обновлениями от производителей.
- Использовать встроенные механизмы защиты. Например, активировать Memory Tagging Extension (MTE) на Pixel 8/9. Эта аппаратная функция безопасности значительно затрудняет эксплуатацию уязвимостей переполнения буфера. Включается в настройках в режиме «Advanced Protection».
Уязвимость в telnetd, позволяющая получить удалённый root-доступ без пароля
В сервере telnetd из набора GNU InetUtils обнаружена уязвимость, которая позволяет удалённо подключиться к системе под любым пользователем, в том числе с root-правами, без ввода пароля. Уязвимость присутствует во всех версиях, начиная с InetUtils 1.9.3 (с 2015 года) и вплоть до актуальной 2.7.0.
Проблема возникает из-за некорректной обработки имени пользователя в режиме автоматического подключения (autologin).
- Для проверки пароля telnetd вызывает системную утилиту
/usr/bin/login, которая имеет опцию-f, позволяющую войти без аутентификации. В обычном режиме подставить-f rootв качестве имени пользователя нельзя. Однако при подключении с опцией-a (autologin)имя пользователя берётся из переменной окружения USER. - Значение этой переменной передаётся в login без проверки. Поэтому, если установить
USER='-f root'и выполнить командуtelnet -a имя_сервера, сервер выполнит вход от имени root-пользователя без запроса пароля.
Единственный способ защиты — применить официальные исправления (патчи), которые опубликованы здесь и здесь.
