В этой подборке представлены самые интересные уязвимости за октябрь 2025 года.
Подведем вместе итоги второго осеннего месяца, поехали!
Навигация по уязвимостям
Исправленные уязвимости в решении Oracle E-Business Suite
▶ CVE-2025-61882
Об уязвимости:В продукте Oracle Concurrent Processing решения Oracle E-Business Suite (EBS) версий с 12.2.3 по 12.2.14 включительно обнаружена уязвимость, связанная с возможностью удаленного выполнения произвольного кода без прохождения аутентификации.
Опубликована проверка концепции, которая доступна по .
Эксплуатация:
Уязвимость позволяет удаленному злоумышленнику обойти процедуру аутентификации и получить доступ к Oracle Concurrent Processing.
Исправление:
Всем пользователям необходимо как можно скорее установить обновление на свои устройства.
Оценка уязвимости по шкале CVSS 4.0 — 9.3 балла.
Подробнее:
▶ CVE-2025-61884
Об уязвимости:В продукте Oracle Configurator решения Oracle E-Business Suite (EBS) версий с 12.2.3 по 12.2.14 включительно обнаружена уязвимость, связанная с раскрытием информации в компоненте Runtime UI.
Эксплуатация:
Уязвимость позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, получить несанкционированный доступ к критически важным данным или полный доступ ко всем данным, доступным в Oracle Configurator.
Исправление:
Всем пользователям необходимо как можно скорее установить обновление на свои устройства.
Оценка уязвимости по шкале CVSS 4.0 — 8.7 баллов.
Подробнее:
Выполнение произвольного кода в Redis
▶ CVE-2025-49844
Об уязвимости:В исходном коде нереляционной СУБД Redis до 8.2.1 версии, поддерживающей выполнение Lua, обнаружена уязвимость типа use-after-free в механизме сборщика мусора, который управляет памятью при выполнении Lua-скриптов.
Опубликована проверка концепции, которая доступна по .
Эксплуатация:
Уязвимость позволяет удаленному злоумышленнику, прошедшему проверку подлинности, получить полный контроль над сервером и выполнять произвольный код с помощью специально сформированного сценария Lua.
Исправление:
Всем пользователям рекомендуется как можно скорее провести обновление до исправленной версии 8.2.2.
Оценка уязвимости по шкале CVSS 4.0 — 9.4 балла.
Подробнее:
Критическая уязвимость в движке Unity
▶ CVE-2025-59489
Об уязвимости:В игровом движке Unity обнаружена уязвимость, связанная с возможностью при запуске игры или приложения подгрузить вредоносную библиотеку. Затронуты все игры и приложения, созданные на версиях с 2017.1 и новее для ОС Android, Windows, macOS и Linux.
Эксплуатация:
Уязвимость позволяет приложению с низкими привилегиями при запуске игры загрузить и запустить вредоносную библиотеку, таким образом злоумышленник может выполнять произвольный код в контексте уязвимого приложения на устройствах Android и повысить привилегии в Windows.
Исправление:
Unity уже выпустила исправление, но для защиты пользователей требуется массовая перекомпиляция всех затронутых проектов. Разработчикам необходимо срочно обновить свои проекты, чтобы защитить свои сообщества.
Оценка уязвимости по шкале CVSS 4.0 — 9.3 балла.
Подробнее:
Выполнение произвольных команд в сервере Figma MCP
▶ CVE-2025-53967
Об уязвимости:В графическом онлайн-редакторе Figma обнаружена уязвимость в сервере Model Context Protocol (MCP) до версии 0.6.3, который лежит в основе интеграции с ИИ-агентами. Уязвимость кроется в некорректном формировании shell-команд: пользовательские данные без должной проверки напрямую подставляются в командную строку.
Опубликована демонстрация проверки концепции, которая доступна по .
Эксплуатация:
Уязвимость позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, но обладающему сетевым доступом к интерфейсу MCP, с помощью специально сформированного HTTP-запроса выполнять произвольные команды.
Исправление:
Всем пользователям рекомендуется как можно скорее провести обновление до исправленной версии Figma 0.6.3.
Оценка уязвимости по шкале CVSS 4.0 — 9.4 балла.
Подробнее:
Исправленные уязвимости в Microsoft
В традиционный Patch Tuesday компанией Microsoft были исправлены 172 уязвимости, из которых целых 6 являлись уязвимостями нулевого дня. Всем пользователям остается как можно скорее провести обновление своих продуктов до исправленных версий.▶ CVE-2025-24990 и CVE-2025-24052
Об уязвимостях:В драйвере модема Windows Agere обнаружены уязвимости, связанные с повышением привилегий. Проблема затрагивает все поддерживаемые версии Windows, при этом для успешной атаки CVE-2025-24052 не требуется активное использование модема. Компанией Microsoft был удален драйвер модема Agere, после чего связанное с ним оборудование факсовых модемов перестанет функционировать.
Эксплуатация:
Уязвимости позволяют злоумышленнику, прошедшему проверку подлинности, получить административные права в системе.
Оценка уязвимостей по шкале CVSS 4.0 — 8.5 баллов.
Подробнее:
▶ CVE-2025-59230
Об уязвимости:В Windows Remote Access Connection Manager обнаружена уязвимость, связанная с локальным повышением привилегий.
Эксплуатация:
Уязвимость позволяет злоумышленнику, прошедшему проверку подлинности, при определенных условиях локально повысить привилегии до уровня SYSTEM.
Оценка уязвимости по шкале CVSS 4.0 — 8.5 баллов.
Подробнее:
▶ CVE-2025-47827
Об уязвимости:В IGEL OS до версии 11 обнаружена уязвимость, связанная с некорректной проверкой криптографической подписи модулем igel-flash-driver.
Опубликована проверка концепции, которая доступна по .
Эксплуатация:
Уязвимость позволяет злоумышленнику обойти механизм Secure Boot.
Оценка уязвимости по шкале CVSS 4.0 — 5.1 балла.
Подробнее:
▶ CVE-2025-0033
Об уязвимости:В процессорах AMD EPYC с SEV-SNP обнаружена уязвимость, связанная с состоянием гонки во время инициализации RMP и может позволить вредоносному или скомпрометированному гипервизору изменить записи RMP до их блокировки.
Эксплуатация:
Уязвимость позволяет злоумышленнику, обладающему привилегированным доступом к гипервизору, повлиять на целостность гостевой памяти SEV-SNP.
Исправление:
Обновления для устранения этой уязвимости в кластерах Azure Confidential Computing (ACC) на базе процессоров AMD находятся в разработке, но еще не завершены.
Оценка уязвимости по шкале CVSS 4.0 — 8.1 балла.
Подробнее:
▶ CVE-2025-2884
Об уязвимости:В TCG TPM 2.0 обнаружена уязвимость в функции CryptHmacSign, связанная с выходом за границы памяти (Out-of-Bounds Read).
Эксплуатация:
Уязвимость позволяет злоумышленнику раскрыть информацию или привести к отказу в обслуживании TPM.
Оценка уязвимости по шкале CVSS 4.0 — 5.2 балла.
Подробнее:
▶ Исправленная RCE-уязвимость CVE-2025-59287
Об уязвимости:В службе обновлений Windows Server (WSUS) обнаружена уязвимость, связанная с небезопасной передачей сериализованных данных напрямую в метод BinaryFormatter.Deserialize()в коде WSUS. Затронуты все серверы Windows с включенной ролью WSUS Server.
Опубликована проверка концепции, которая доступна по .
Эксплуатация:
Уязвимость позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код с правами SYSTEM на серверах Windows.
Оценка уязвимости по шкале CVSS 4.0 — 9.3 балла.
Подробнее:
Чтение произвольных файлов в плагине WordPress
▶ CVE-2025-11705
Об уязвимости:В плагине Anti-Malware Security and Brute-Force Firewall для WordPress во всех версиях до 4.23.81 включительно обнаружена уязвимость, связанная с отсутствием надлежащей авторизации в функциях GOTMLS_* AJAX actions, которые отвечают за обработку AJAX-запросов.
Эксплуатация:
Уязвимость позволяет удаленному злоумышленнику, прошедшему проверку подлинности и обладающему доступом на уровне подписчика и выше, читать содержимое произвольных файлов на сервере, которые могут содержать конфиденциальную информацию.
Исправление:
Всем пользователям необходимо как можно скорее провести обновление плагина до версии 4.23.83.
Оценка уязвимости по шкале CVSS 4.0 — 7.1 балла.
Подробнее:
