Раскрыты эксплоиты для 23 неисправленных уязвимостей в FFmpeg, VLC, Firefox, Docker, PHP, OpenVPN, nmap, libssh2, nghttp2 и 7zip

28.06.2026 13:49 (MSK)

Анонимный исследователь безопасности опубликовал в открытом доступе прототипы 23 эксплоитов, в которых задействованы ещё не исправленные (0-day) уязвимости в таких проектах, как FFmpeg, VLC, Firefox, Docker, PHP, OpenVPN, nmap, libssh2, nghttp2, 7zip, Ghidra, Gitea, c-ares, Floci, Flowise, ImageMagick, Lunar Client, MyBB, objdump и RustDesk. Уязвимости были выявлены в результате fuzzing-тестирования проектов с привлечением AI-модели GPT-5.5-3-Codex-Spark. Утверждается, что эксплоиты, за исключением эксплоита к RustDesk, были написаны вручную, но вся сопроводительная документация к ним сгенерирована через AI.

Среди опубликованного материала встречаются как сомнительные проблемы (ghidra), так и серьёзные уязвимости (Floci, libssh2, FFmpeg, c-ares). По словам исследователя, на момент публикации эксплоитов информация о проблемах не была сообщена разработчикам уязвимых проектов. CVE-идентификаторы не назначены. Среди раскрытых уязвимостей:

Переполнение буфера в мультимедийном пакете FFmpeg, которое может привести к запуску кода атакующего при декодировании специально оформленных видеопотоков в формате RASC (дубликат CVE-2026-12706?).
Две уязвимости в библиотеке libssh2, вызванные целочисленными переполнениями в парсере открытых ключей. Уязвимости приводят к записи данных за пределы выделенного буфера, что может использоваться для выполнения кода атакующего при обращении клиента к вредоносному SSH-серверу, в том числе на стадии до прохождения аутентификации.
Уязвимость в эмуляторе облачных окружений Floci, позволяющая обойти IAM-ограничения и добиться удалённого выполнения кода через отправку HTTP-запроса к REST API при использовании сервиса API Gateway и наличии непривилегированного доступа к API.
Уязвимость (use-after-free) в DNS-библиотеке c-ares, приводящая к запуску кода злоумышленника при обращении к подконтрольному атакующему DNS-серверу при вызове функции ares_getaddrinfo().
Состояние гонки в Docker, которое можно использовать для записи файла в область вне целевого каталога при копировании администратором данных из контейнера в хост-окружение командой "docker cp <container>:/tmp/src <host-destination>.
Уязвимость в сетевом сканере nmap, приводящая к целочисленному переполнению из-за некорректной обработки размера в коде для парсинга заголовков пакетов IPv6.
Уязвимость в реализации AI-режима "Smart Window" в Firefox, приводящая к утечке конфиденциальных данных и истории посещений через подстановку инструкций для AI-агента в открываемый контент.
Уязвимость в 7-Zip, которую можно использовать в Windows для подмены других файлов при распаковке специально оформленных RAR-архивов.
Уязвимость в act_runner в платформе совместной разработки Gitea, позволяющая выйти из контейнера и получить root-доступ к хост-системе при наличии возможности выполнения своих обработчиков через Gitea Actions.
Переполнение буфера в мультимедийном проигрывателе VLC, эксплуатариуемое при декодировании специально оформленного видео в формате VP9.
Уязвимость в PHP, вызванная неправильной обработки типов (Type Confusion) и позволяющая добиться выполнения своего кода при обработке HTTP-ответа от вредоносного SOAP-сервера.
Уязвимость в OpenVPN Connect для Windows, позволяющая добиться выполнения кода на стороне клиента при подключении к вредоносному VPN-серверу, после того как пользователь импортирует ovpn-профиль с настройками для подключения к этому серверу.
Уязвимость класса HTTP Request Smuggling в библиотеке nghttp2 в реализации прокси-сервера nghttpx, позволяющая вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом (например, для подстановки вредоносного JavaScript-кода в сеанс другого пользователя с сайтом).
Уязвимость в панели управления MyBB Admin CP, позволяющая модератору, имеющему право управления пользователями в форуме, создать учётную запись с правами главного администратора.
Уязвимость в платформе удаленного управления RustDesk, позволяющая совершить MITM-атаку для отключения шифрования и подстановки нажатий клавиш в сеанс пользователя.
Уязвимость в утилите objdump, позволяющая добиться выполнения кода при анализе утилитой специально оформленных объектных файлов в формате ELF/DLX.

исправить +7 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65794-ffmpeg

Ключевые слова: ffmpeg, vlc, firefo, docker, php, openvpn, nmap, libssh2, nghttp2, 7zip

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (48)

1.1, Аноним (1), 14:06, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
Не, вернняк, Михос 5 тут не причем. Кожаные инженеры во все тысячи глаз рассмотрели кучу зеро-дей.

2.8, Аноним (8), 14:23, 28/06/2026 [^] [^^] [^^^] [ответить]	+1 +/–
RustDesk и OpenVPN - самые смачные

3.9, Аноним (1), 14:26, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
С КВН понятно,анонимности не существует в цифровом мире, а Раст уже устарел даже концептуально.

4.20, Аноним (20), 15:20, 28/06/2026 [^] [^^] [^^^] [ответить]	+2 +/–
Да еп, хорошо же сидели. Только-только дошел до структур раста в книжке, уже про кортежи знаю и кто такой этот боровер, а тут на тебе - всё зря. И что там в итоге модное молодёжное не устаревшее, чтобы и конпелялось и были дополнительные проверки типа Verus.

5.29, Аноним (1), 16:00, 28/06/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Нейронки.

1.2, Аноним (2), 14:08, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Вроде про переполнение буффера ничего нет, значит сишка - ТРУЪ язык!

2.7, aname (ok), 14:22, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
Таки у VLC, но только при обработке VP9

2.10, Аноним (10), 14:35, 28/06/2026 [^] [^^] [^^^] [ответить]

+2 +/–

> Вроде про переполнение буффера ничего нет, значит сишка - ТРУЪ язык!

Первым же пунктом:
> Переполнение буфера в мультимедийном пакете FFmpeg,

...

objdump:
https://github.com/4D4J/objdump-Out-Of-Bounds-write
> // bfd/elf32-dlx.c — elf32_dlx_relocate26()
> insn = bfd_get_32(abfd, data + reloc_entry->address); // OOB read

Ну и остальные из похожей оперы "UB-грабли и их правильный обход, попытка 100500"
> Две уязвимости в библиотеке libssh2, вызванные целочисленными переполнениями
> Уязвимость (use-after-free) в DNS-библиотеке c-ares,
> Уязвимость в сетевом сканере nmap, приводящая к целочисленному переполнению

И ведь ЧСХ весь список: или ошибка в логике на не-сишном-ЯП или вылезание за пределы буфера или неправильное сложение чисел на ней самой, родимой.

1.3, Аноним (3), 14:08, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>на момент публикации эксплоитов информация о проблемах не была сообщена разработчикам уязвимых проектов Мда... И чего хотел добиться ?

2.4, Аноним (4), 14:13, 28/06/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Вероятно, пиарит либо модель, либо себя

2.5, Аноним (5), 14:15, 28/06/2026 [^] [^^] [^^^] [ответить]	+3 +/–
Никто ничего тебе не должен.

3.15, Аноним (3), 14:57, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
При чём тут должен или нет, вопрос в другом был.

4.22, Аноним (5), 15:40, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
> При чём тут должен или нет, вопрос в другом был. Ответ в этом.

2.24, Аноним (24), 15:44, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
пиар,чсв++

3.36, Аноним (3), 16:53, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
Ну по факту этого его перформанса показался чудаком на букву м.

4.50, Аноним (5), 17:58, 28/06/2026 Скрыто ботом-модератором [к модератору]	+/–

2.26, Аноним (-), 15:52, 28/06/2026 Скрыто ботом-модератором [к модератору]	+1 +/–

2.32, Аноним (32), 16:42, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
> Мда... И чего хотел добиться ? того, что в большинстве случаях это явным образом добавленные бекдоры. Отсюда вопрос, вам сообщают когда добавляют новую порцию бекдоров? Нет? А чего вы хотите от разоблачителя?

3.35, Аноним (3), 16:51, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
В чём явность ? На конкретном примере покажите.

4.39, Аноним (32), 17:14, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
Уязвимость use-after-free в DNS-библиотеке c-ares, приводящая к запуску кода з... большой текст свёрнут, показать

5.42, Аноним (3), 17:25, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
>достаточно? Достаточно копировать то, что и так написано в посте.

6.44, Аноним (32), 17:38, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
> Достаточно копировать то, что и так написано в посте. а что там написано? ЫЫ боты копировать не умеют, покажи, что ты не ЫЫ-шный бот.

5.49, Аноним (-), 17:55, 28/06/2026 Скрыто ботом-модератором [к модератору]	+/–

2.38, Аноним (38), 17:13, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
Всё правильно сделал. Все эти соевые рекомендации об "отвественном" раскрытии уязвимостей были бесполезны и до ИИ. А теперь они бесполезны четырежды. Если корпа вам не готова заплатить за эмбарго да хотя бы 1000$ в день, публикуйте сразу, с рабочими прототипами эксплоитов. Шансы что никто больше не догадался там посмотреть околонулевые. Так что либо в паблик сразу, либо чуть позже, но за деньги.

3.46, Аноним (3), 17:39, 28/06/2026 [^] [^^] [^^^] [ответить]

+/–

>Если корпа вам не готова заплатить за эмбарго да хотя бы 1000$ в день

О да, борец с корпами, например такими как FFmpeg, 7zip, VLC.

Ну борец прям. Обычно те кто называет кого-то "соевыми" сам обычно оказывается... как бы так сказать, да ладно.

4.51, Аноним (38), 18:00, 28/06/2026 [^] [^^] [^^^] [ответить]

+/–

> FFmpeg, 7zip, VLC.

Ну и кому будет плохо, если для этих опенсорсных проектов появится ещё немного кода? Если ты так радеешь за защиту животных, напиши им в баг-трекер, тебе спасибо скажут.

> Обычно те кто называет кого-то "соевыми" сам обычно оказывается... как бы так сказать, да ладно.

Да ты не стесняйся, скажи как думаешь. А лучше сразу скажи в каком зале занимаешься, если в моём городе, я подъеду, поспаррингуем.

3.48, Аноним (-), 17:48, 28/06/2026 Скрыто ботом-модератором [к модератору]	+/–

1.6, aname (ok), 14:20, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> позволяющая совершить MITM-атаку для отключения шифрования > и подстановки нажатий клавиш в сеанс пользователя. Rust- это надёжно. Rust- это безопасно.

2.12, anon2 (?), 14:43, 28/06/2026 [^] [^^] [^^^] [ответить]

+/–

> Rust- это надёжно. Rust- это безопасно.

Ща набегут защитники раста и будут доказывать что "это другое" (с)

2.16, Аноним (16), 14:58, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
Надёжный MITM.

2.18, Аноним (18), 15:12, 28/06/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Rust- это безопасТно!

2.19, Аноним (19), 15:18, 28/06/2026 [^] [^^] [^^^] [ответить]	+2 +/–
Атакующий не нарвётся на ошибки работы с памятью и атака пройдёт успешно. Раст гарантирует успешность атаки на этапе компиляции.

3.34, Аноним (32), 16:44, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
> Раст гарантирует успешность атаки на этапе компиляции. Раст защищает от UB во время атаки :)

1.13, Аноним (16), 14:49, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Чем безопаснее язык, тем абсурднее уязвимости: > PHP, вызванная неправильной обработки типов (Type Confusion) и позволяющая добиться выполнения своего кода при обработке HTTP-ответа от вредоносного SOAP-сервера.

1.14, АДмин (?), 14:50, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Сколько комментаторов с ОпенНета проэксплуатировали хоть одну уязвимость и отписались что да всё работает ! 0 Карл 0

2.17, IdeaFix (ok), 15:05, 28/06/2026 [^] [^^] [^^^] [ответить]	+2 +/–
7зип работает, остальное очень уж лениво...

2.40, Аноним (32), 17:16, 28/06/2026 [^] [^^] [^^^] [ответить]	+1 +/–
запусти, в чем проблема?

1.21, Аноним (-), 15:24, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
>По словам исследователя, на момент публикации эксплоитов информация о проблемах не была сообщена разработчикам уязвимых проектов На Github исследователь пишет "Cybercrime is cringe", при этом публикует 0-day эксплоиты Всё ок?

2.23, iPony128052 (?), 15:41, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
Опенсорс. Всё в открытую.

3.28, Аноним (-), 15:55, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
Как это меняет суть?

2.27, devrdskc0t0d0s1 (-), 15:55, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
Правильно, и ещё как. Иначе - разработчики не зашевелятся, либо информацию могут просто скрыть, либо подать ложную. Чем больше начнут подобного делать, тем быстрее начнут подобное фиксить, и даже, может, грамотно писать код, ещё и минималистичный.

2.41, Аноним (32), 17:17, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
> при этом публикует 0-day эксплоиты для вас это крайм? Крайм, когда вам в лицо врут, что олл сейф :)

3.45, Аноним (-), 17:39, 28/06/2026 Скрыто ботом-модератором [к модератору]	+/–

1.25, Аноним (25), 15:47, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Недавно в Ubuntu LTS с подпиской Pro пришло исправление ffmpeg

2.33, Аноним (33), 16:42, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
Не зря им деньги платишь.

1.31, Аноним (33), 16:41, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Если уязвимость "зеро-дэй" - 0-day, никаких отпусков и праздников! Всем латать дыры!

2.47, Аноним (-), 17:41, 28/06/2026 Скрыто ботом-модератором [к модератору]	+/–

1.43, Аноним (43), 17:33, 28/06/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+/–

игнорирование участников | лог модерирования

Добавить комментарий

Текст: