Три крупных вендора — Fortinet, Ivanti и SAP — одновременно выпустили обновления безопасности, закрывающие в совокупности семь критических уязвимостей с оценками CVSS от 9.0 до 10.0. Наиболее опасная из них, CVE-2026-10520 в Ivanti Sentry, получила максимальную оценку 10.0 и позволяет неаутентифицированному атакующему получить удалённое выполнение кода с правами root. Все уязвимости допускают выполнение произвольного кода или несанкционированный доступ к данным. Эксплуатация в реальных атаках на данный момент не зафиксирована, однако для CVE-2026-10520 опубликованы технические детали эксплуатации, что существенно повышает риск. Организациям, использующим затронутые продукты, следует установить обновления в приоритетном порядке.
Fortinet FortiSandbox: инъекция команд ОС без аутентификации
Согласно бюллетеню Fortinet PSIRT, уязвимость CVE-2026-25089 (CVSS 9.1) относится к классу CWE-78 — некорректная нейтрализация специальных элементов, используемых в командах операционной системы. Атакующий без аутентификации может выполнить произвольные команды ОС через специально сформированные HTTP-запросы к веб-интерфейсу FortiSandbox.
Затронутые продукты и версии:
- FortiSandbox 5.0.0–5.0.5 → обновить до 5.0.6 или выше
- FortiSandbox 4.4.0–4.4.8 → обновить до 4.4.9 или выше
- FortiSandbox Cloud 5.0.4–5.0.5 → обновить до 5.0.6 или выше
- FortiSandbox PaaS 5.0.4–5.0.5 → обновить до 5.0.6 или выше
FortiSandbox — ключевой компонент инфраструктуры защиты от вредоносного ПО, и компрометация этого решения может открыть атакующему доступ к анализируемым образцам и внутренней сети организации.
Ivanti Sentry: максимальная критичность и публичный анализ эксплуатации
Ivanti опубликовала исправления для двух уязвимостей в Ivanti Sentry (ранее MobileIron Sentry), обе из которых затрагивают версии до R10.5.2, R10.6.2 и R10.7.1:
- CVE-2026-10520 (CVSS 10.0) — инъекция команд ОС, позволяющая неаутентифицированному атакующему получить удалённое выполнение кода с правами root.
- CVE-2026-10523 (CVSS 9.9) — обход аутентификации, позволяющий неаутентифицированному атакующему создавать произвольные административные учётные записи и получать полный административный доступ.
По данным исследователей watchTowr Labs, эксплуатация CVE-2026-10520 осуществляется через отправку специально сформированного HTTP-запроса к эндпоинту /mics/api/v2/sentry/mics-config/handleMessage. Запрос интерпретируется как конфигурационная команда MICS и выполняется серверным компонентом handleExecute(). Исследователь Сонни Макдональд отметил, что патч Ivanti реализует двухуровневую защиту: перенаправление неаутентифицированных запросов на страницу входа и блокировку доступа к уязвимому эндпоинту — фактически добавляя аутентификацию там, где её не было.
Комбинация CVE-2026-10520 и CVE-2026-10523 представляет особую опасность: обход аутентификации может использоваться для закрепления в системе после первоначальной компрометации через инъекцию команд, создавая устойчивый бэкдор с административными привилегиями.
SAP: четыре критические уязвимости в ключевых платформах
В рамках июньского обновления безопасности SAP закрыла четыре критические уязвимости:
- CVE-2026-44748 (CVSS 9.9) — подмена XML-подписи в механизме аутентификации SAML в SAP NetWeaver AS ABAP и ABAP Platform. По данным Onapsis, аутентифицированный атакующий с обычными привилегиями может получить валидное подписанное сообщение, модифицировать данные идентификации в XML-документе и отправить его верификатору. Из-за некорректной проверки XML-подписи изменённые данные принимаются, что ведёт к несанкционированному доступу к конфиденциальным данным пользователей.
- CVE-2026-27671 (CVSS 9.8) — повреждение памяти в Application Server ABAP. Неаутентифицированный атакующий может отправить специально сформированный RFC-запрос, эксплуатируя некорректную валидацию протокола RFC ядром SAP.
- CVE-2026-22732 (CVSS 9.1) — уязвимость Spring Security в SAP Commerce Cloud и SAP Data Hub.
- CVE-2026-40128 (CVSS 9.0) — обход каталога в SAP NetWeaver Application Server Java (Web Container).
Уязвимость CVE-2026-44748 заслуживает особого внимания для организаций, использующих SAML-аутентификацию с SAP: успешная атака позволяет подменить идентификацию пользователя, что может привести к компрометации привилегированных учётных записей в ERP-системе.
Оценка рисков и рекомендации
Ни одна из перечисленных уязвимостей на момент публикации не внесена в каталог CISA KEV, и подтверждённых случаев эксплуатации в реальных атаках не зафиксировано. Однако публикация технических деталей эксплуатации CVE-2026-10520 исследователями watchTowr Labs существенно сокращает время до появления рабочих эксплойтов.
Приоритеты обновления:
- Наивысший приоритет — Ivanti Sentry: обновление до R10.5.2, R10.6.2 или R10.7.1 в зависимости от используемой ветки. Наличие публичного анализа эксплуатации при максимальной оценке CVSS 10.0 делает эту уязвимость первоочередной.
- Высокий приоритет — FortiSandbox: обновление до версий 5.0.6 или 4.4.9 соответственно. Уязвимость не требует аутентификации и эксплуатируется через HTTP.
- Высокий приоритет — SAP NetWeaver и связанные продукты: установка соответствующих исправлений из июньского пакета обновлений SAP. Особое внимание — системам с SAML-аутентификацией (CVE-2026-44748) и публично доступным RFC-интерфейсам (CVE-2026-27671).
В качестве временной меры для Ivanti Sentry рекомендуется ограничить сетевой доступ к эндпоинту /mics/api/v2/sentry/mics-config/handleMessage средствами межсетевого экрана или обратного прокси до установки патча.
Совпадение сроков публикации критических обновлений от трёх вендоров создаёт повышенную нагрузку на команды безопасности. Учитывая наличие публичного анализа эксплуатации для Ivanti Sentry и отсутствие аутентификации в качестве барьера для большинства описанных уязвимостей, установку патчей следует завершить в течение 48–72 часов, начиная с Ivanti Sentry и FortiSandbox как наиболее вероятных целей для атакующих.
