В мае 2026 года пять крупных вендоров — Ivanti, Fortinet, SAP, n8n и Broadcom (VMware) — выпустили исправления для 11 критических уязвимостей с оценками CVSS от 7.8 до 9.6. Наибольшую угрозу представляют уязвимости в SAP S/4HANA и SAP Commerce (CVSS 9.6), а также пять уязвимостей в платформе автоматизации n8n (CVSS 9.4), позволяющих добиться удалённого выполнения кода. Данных о фактической эксплуатации этих уязвимостей на момент публикации нет, однако высокие оценки критичности и доступность патчей требуют оперативного реагирования.

SAP: SQL-инъекция и обход аутентификации с CVSS 9.6

SAP устранила две критические уязвимости, подтверждённые записями в NVD:

• CVE-2026-34260 (CVSS 9.6) — SQL-инъекция в SAP S/4HANA. По данным Pathlock, уязвимость позволяет аутентифицированному атакующему с низкими привилегиями внедрять вредоносный SQL-код через пользовательский ввод, что может привести к раскрытию конфиденциальных данных из базы и аварийному завершению работы приложения. При этом уязвимый код допускает только чтение данных, не нарушая целостность.
• CVE-2026-34263 (CVSS 9.6) — отсутствие проверки аутентификации в конфигурации SAP Commerce Cloud. Согласно анализу Onapsis, причина — чрезмерно разрешительная конфигурация безопасности с некорректным порядком правил, что позволяет неаутентифицированному пользователю загружать вредоносную конфигурацию и выполнять произвольный серверный код.

Обе уязвимости описаны в майском бюллетене SAP Security Patch Day. CVE-2026-34263 особенно опасна: она не требует аутентификации и открывает путь к полному выполнению произвольного кода на сервере.

n8n: пять уязвимостей с удалённым выполнением кода

Платформа автоматизации рабочих процессов n8n раскрыла пять критических уязвимостей, каждая с оценкой CVSS 9.4. Все требуют аутентификации и права на создание или изменение рабочих процессов, но при соблюдении этих условий позволяют добиться полной компрометации хоста:

• CVE-2026-42231 — загрязнение прототипа через библиотеку xml2js в обработчике вебхуков, ведущее к удалённому выполнению кода через специально сформированную XML-нагрузку.
• CVE-2026-42232 — глобальное загрязнение прототипа через узел XML, приводящее к удалённому выполнению кода в комбинации с другими узлами.
• CVE-2026-44791 — обход исправления для CVE-2026-42232, вновь открывающий возможность удалённого выполнения кода.
• CVE-2026-44789 — глобальное загрязнение прототипа через невалидированный параметр пагинации в узле HTTP Request.
• CVE-2026-44790 — инъекция флагов CLI в операции Push узла Git, позволяющая читать произвольные файлы с сервера n8n и приводящая к полной компрометации.

Примечательно, что CVE-2026-44791 представляет собой обход ранее выпущенного исправления — классический пример ситуации, когда первоначальный патч оказывается недостаточным. Исправления первой пары уязвимостей включены в версии 1.123.32, 2.17.4 и 2.18.1, а для трёх последующих — в версии 1.123.43, 2.20.7 и 2.22.1.

Fortinet: выполнение кода без аутентификации

Fortinet опубликовала бюллетени по двум критическим уязвимостям, каждая с оценкой CVSS 9.1:

• CVE-2026-44277 — некорректный контроль доступа в FortiAuthenticator, позволяющий неаутентифицированному атакующему выполнять несанкционированный код через специально сформированные запросы. Исправлено в версиях 6.5.7, 6.6.9 и 8.0.3.
• CVE-2026-26083 — отсутствие авторизации в веб-интерфейсе FortiSandbox, FortiSandbox Cloud и FortiSandbox PaaS, позволяющее неаутентифицированному атакующему выполнять код через HTTP-запросы. Исправлено в FortiSandbox 4.4.9 и 5.0.2, FortiSandbox Cloud 5.0.6 и FortiSandbox PaaS 4.4.9 и 5.0.2.

Обе уязвимости не требуют аутентификации, что существенно повышает риск. Продукты Fortinet традиционно являются привлекательной целью для атакующих, поскольку развёрнуты на периметре сети.

Ivanti Xtraction и VMware Fusion

Как сообщается в бюллетене Ivanti, уязвимость CVE-2026-8043 (CVSS 9.6) в Ivanti Xtraction до версии 2026.2 позволяет удалённому аутентифицированному атакующему читать конфиденциальные файлы и записывать произвольные HTML-файлы в веб-директорию. Это ведёт к раскрытию информации и возможным атакам на стороне клиента.

Broadcom исправила уязвимость CVE-2026-41702 (CVSS 7.8) в VMware Fusion. Согласно бюллетеню Broadcom, это уязвимость типа TOCTOU (Time-of-check Time-of-use), возникающая при операции, выполняемой бинарным файлом с флагом SETUID. Локальный пользователь без административных привилегий может эскалировать права до root. Исправление включено в версию 26H1.

Рекомендации по приоритизации

При планировании обновлений рекомендуется следующий порядок приоритетов:

1. Наивысший приоритет: уязвимости Fortinet (CVE-2026-44277, CVE-2026-26083) и SAP Commerce (CVE-2026-34263) — не требуют аутентификации и позволяют выполнять произвольный код.
2. Высокий приоритет: уязвимости n8n (все пять CVE) — требуют аутентификации, но ведут к полной компрометации хоста; SAP S/4HANA (CVE-2026-34260) — SQL-инъекция с доступом к данным.
3. Стандартный приоритет: Ivanti Xtraction (CVE-2026-8043) — требует аутентификации, ограничена раскрытием информации; VMware Fusion (CVE-2026-41702) — требует локального доступа.

Для всех перечисленных уязвимостей патчи уже доступны. Организациям, использующим затронутые продукты, следует применить обновления в ближайшие 24–72 часа для уязвимостей первого приоритета и в рамках стандартного цикла обновлений — для остальных. Особое внимание стоит уделить продуктам Fortinet на сетевом периметре: отсутствие требования аутентификации в сочетании с возможностью выполнения кода делает эти уязвимости наиболее вероятными кандидатами для первых попыток эксплуатации.