У травні 2026 року п’ять великих вендорів — Ivanti, Fortinet, SAP, n8n та Broadcom (VMware) — випустили виправлення для 11 критичних вразливостей з оцінками CVSS від 7.8 до 9.6. Найбільшу загрозу становлять вразливості в SAP S/4HANA та SAP Commerce (CVSS 9.6), а також п’ять вразливостей у платформі автоматизації n8n (CVSS 9.4), що дають змогу досягти remote code execution. Відомостей про фактичну експлуатацію цих вразливостей на момент публікації немає, однак високі оцінки критичності та доступність патчів вимагають оперативного реагування.

SAP: SQL injection та обхід автентифікації з CVSS 9.6

SAP усунула дві критичні вразливості, підтверджені записами в NVD:

• CVE-2026-34260 (CVSS 9.6) — уразливість типу SQL injection у SAP S/4HANA. За даними Pathlock, вона дає змогу автентифікованому зловмиснику з низькими привілеями впроваджувати шкідливий SQL‑код через користувацьке введення, що може призвести до розкриття конфіденційних даних із бази та аварійного завершення роботи застосунку. Водночас уразливий код дозволяє лише читання даних, не порушуючи їхньої цілісності.
• CVE-2026-34263 (CVSS 9.6) — відсутність перевірки автентифікації в конфігурації SAP Commerce Cloud. Згідно з аналізом Onapsis, причиною є занадто дозволяюча конфігурація безпеки з некоректним порядком правил, що дає змогу неавтентифікованому користувачеві завантажувати шкідливу конфігурацію та виконувати довільний серверний код.

Обидві вразливості описані в травневому бюлетені SAP Security Patch Day. CVE-2026-34263 є особливо небезпечною: вона не потребує автентифікації й відкриває шлях до повного виконання довільного коду на сервері.

n8n: п’ять вразливостей із remote code execution

Платформа автоматизації робочих процесів n8n розкрила п’ять критичних вразливостей, кожна з оцінкою CVSS 9.4. Усі вони вимагають автентифікації та права на створення або зміну робочих процесів, але за цих умов дають змогу досягти повної компрометації хоста:

• CVE-2026-42231 — prototype pollution через бібліотеку xml2js в обробнику вебгуків, що призводить до remote code execution через спеціально сформоване XML‑навантаження.
• CVE-2026-42232 — глобальне prototype pollution через вузол XML, що призводить до remote code execution у комбінації з іншими вузлами.
• CVE-2026-44791 — обхід виправлення для CVE-2026-42232, який знову відкриває можливість remote code execution.
• CVE-2026-44789 — глобальне prototype pollution через неперевірений параметр пагінації у вузлі HTTP Request.
• CVE-2026-44790 — ін’єкція прапорців CLI в операції Push вузла Git, що дозволяє читати довільні файли з сервера n8n і призводить до повної компрометації.

Показово, що CVE-2026-44791 є обходом раніше випущеного виправлення — класичний приклад ситуації, коли початковий патч виявляється недостатнім. Виправлення першої пари вразливостей включені до версій 1.123.32, 2.17.4 і 2.18.1, а для трьох наступних — до версій 1.123.43, 2.20.7 і 2.22.1.

Fortinet: виконання коду без автентифікації

Fortinet опублікувала бюлетені щодо двох критичних вразливостей, кожна з оцінкою CVSS 9.1:

• CVE-2026-44277 — некоректний контроль доступу в FortiAuthenticator, що дозволяє неавтентифікованому зловмиснику виконувати несанкціонований код через спеціально сформовані запити. Виправлено у версіях 6.5.7, 6.6.9 і 8.0.3.
• CVE-2026-26083 — відсутність авторизації у веб‑інтерфейсі FortiSandbox, FortiSandbox Cloud і FortiSandbox PaaS, що дозволяє неавтентифікованому зловмиснику виконувати код через HTTP‑запити. Виправлено у FortiSandbox 4.4.9 і 5.0.2, FortiSandbox Cloud 5.0.6 та FortiSandbox PaaS 4.4.9 і 5.0.2.

Обидві вразливості не потребують автентифікації, що суттєво підвищує ризик. Продукти Fortinet традиційно є привабливою ціллю для зловмисників, оскільки розгорнуті на периметрі мережі.

Ivanti Xtraction і VMware Fusion

Як повідомляється в бюлетені Ivanti, вразливість CVE-2026-8043 (CVSS 9.6) в Ivanti Xtraction до версії 2026.2 дозволяє віддаленому автентифікованому зловмиснику читати конфіденційні файли та записувати довільні HTML‑файли у веб‑директорію. Це призводить до розкриття інформації та потенційних атак на стороні клієнта.

Broadcom виправила вразливість CVE-2026-41702 (CVSS 7.8) у VMware Fusion. Згідно з бюлетенем Broadcom, це вразливість типу TOCTOU (Time-of-check Time-of-use), що виникає під час операції, яку виконує бінарний файл із прапорцем SETUID. Локальний користувач без адміністративних привілеїв може підвищити свої права до root. Виправлення включено до версії 26H1.

Рекомендації з пріоритизації

Під час планування оновлень рекомендується дотримуватися такого порядку пріоритетів:

1. Найвищий пріоритет: вразливості Fortinet (CVE-2026-44277, CVE-2026-26083) та SAP Commerce (CVE-2026-34263) — не потребують автентифікації та дають змогу виконувати довільний код.
2. Високий пріоритет: вразливості n8n (усі п’ять CVE) — потребують автентифікації, але призводять до повної компрометації хоста; SAP S/4HANA (CVE-2026-34260) — SQL injection із доступом до даних.
3. Стандартний пріоритет: Ivanti Xtraction (CVE-2026-8043) — потребує автентифікації, обмежується розкриттям інформації; VMware Fusion (CVE-2026-41702) — потребує локального доступу.

Для всіх перелічених вразливостей патчі вже доступні. Організаціям, які використовують відповідні продукти, слід застосувати оновлення протягом найближчих 24–72 годин для вразливостей першого пріоритету та в межах стандартного циклу оновлень — для решти. Особливу увагу варто приділити продуктам Fortinet на мережевому периметрі: відсутність вимоги автентифікації в поєднанні з можливістю виконання коду робить ці вразливості найімовірнішими кандидатами для перших спроб експлуатації.