Nové zranitelnosti v katalogu CISA KEV – vydání 13

Premium novinky Date: 20. březen 2026 Zobrazení: 8

Nové zranitelnosti v katalogu CISA KEV – vydání 13

CISA přidala 20. března 2026 do katalogu aktivně zneužívaných zranitelností pět nových položek. Tři se týkají produktů Apple a jsou spojeny s útočným řetězcem DarkSword, jedna postihuje redakční systém Craft CMS a jedna populární PHP framework Laravel Livewire.

CVE-2025-31277 – Apple Multiple Products, přetečení vyrovnávací paměti v enginu WebKit (CVSS 8.8). Zranitelnost se nachází v jádru renderovacího enginu Safari, iOS, iPadOS, macOS, watchOS, tvOS a visionOS. Záměrně sestavený webový obsah v prohlížeči spustí poškození paměti, které útočníkovi umožní předběžné spuštění libovolného kódu. Ve spojení s dalšími chybami v řetězci DarkSword může vést tato zranitelnost k plné kompromitaci zařízení. Záplata je dostupná v aktualizaci Apple z 11. března 2026; uživatelé by měli neprodleně přejít na nejnovější dostupnou verzi iOS, iPadOS nebo macOS.

CVE-2025-43510 – Apple Multiple Products, nesprávná synchronizace zámků v jaderném komponentu (CVSS 7.8). Chyba v mechanismu uzamykání dovoluje škodlivé aplikaci provádět nečekané změny v paměti sdílené mezi procesy. Útočník ji může využít k úniku dat z privilegovaného kontextu nebo jako odrazový můstek k eskalaci oprávnění v rámci vícevrstvého útoku. Záplata je dostupná ve stejné aktualizaci Apple z 11. března 2026.

CVE-2025-43520 – Apple Multiple Products, klasický přetok vyrovnávací paměti v jádru systému (CVSS 8.8). Přetok v jaderné vrstvě dovoluje škodlivé aplikaci způsobit neočekávané ukončení systému nebo přímo zapisovat do jaderné paměti. Tato schopnost přímého zápisu do jádra tvoří finální stupeň útočného řetězce DarkSword a umožňuje dosáhnout plné kontroly nad napadeným zařízením. Záplata je součástí téže aktualizace z 11. března 2026.

CVE-2025-32432 – Craft CMS, vložení kódu (CVSS 10.0). Kritická zranitelnost v endpoint /actions/assets/generate-transform umožňuje neautorizovanému útočníkovi dosáhnout vzdáleného spuštění kódu na serveru bez jakéhokoli předchozího přihlášení. Postiženy jsou verze 3.0.0-RC1 až 3.9.14, 4.0.0-RC1 až 4.14.14 a 5.0.0-RC1 až 5.6.16. Záplata je dostupná ve verzích Craft CMS 3.9.15, 4.14.15 a 5.6.17. Aktualizaci lze provést příkazem php craft update nebo prostřednictvím správce závislostí Composer.

CVE-2025-54068 – Laravel Livewire, vložení kódu (CVSS 9.8). Zranitelnost leží v hydratačním mechanismu komponent frameworku Livewire, který synchronizuje stav klientské strany se serverem při každém požadavku. Záměrně sestavený požadavek obejde validaci a způsobí, že framework interpretuje nedůvěryhodný vstup jako spustitelný kód – útočník tak může spustit libovolné příkazy na serveru bez předchozí autentizace. Postiženy jsou verze Livewire 3.0.0-beta.1 až 3.6.3. Pro tuto zranitelnost neexistuje workaround; jediným účinným řešením je okamžitá aktualizace na verzi 3.6.4 nebo novější příkazem composer update livewire/livewire.