Раскрыты эксплоиты для 23 неисправленных уязвимостей в FFmpeg, VLC, Firefox, Docker, PHP, OpenVPN, nmap, libssh2, nghttp2 и 7zip

28.06.2026 13:49 (MSK)

Анонимный исследователь безопасности опубликовал в открытом доступе прототипы 23 эксплоитов, в которых задействованы ещё не исправленные (0-day) уязвимости в таких проектах, как FFmpeg, VLC, Firefox, Docker, PHP, OpenVPN, nmap, libssh2, nghttp2, 7zip, Ghidra, Gitea, c-ares, Floci, Flowise, ImageMagick, Lunar Client, MyBB, objdump и RustDesk. Уязвимости были выявлены в результате fuzzing-тестирования проектов с привлечением AI-модели GPT-5.5-3-Codex-Spark. Утверждается, что эксплоиты, за исключением эксплоита к RustDesk, были написаны вручную, но вся сопроводительная документация к ним сгенерирована через AI.

Среди опубликованного материала встречаются как сомнительные проблемы (ghidra), так и серьёзные уязвимости (Floci, libssh2, FFmpeg, c-ares). По словам исследователя, на момент публикации эксплоитов информация о проблемах не была сообщена разработчикам уязвимых проектов. CVE-идентификаторы не назначены. Среди раскрытых уязвимостей:

Переполнение буфера в мультимедийном пакете FFmpeg, которое может привести к запуску кода атакующего при декодировании специально оформленных видеопотоков в формате RASC (дубликат CVE-2026-12706?).
Две уязвимости в библиотеке libssh2, вызванные целочисленными переполнениями в парсере открытых ключей. Уязвимости приводят к записи данных за пределы выделенного буфера, что может использоваться для выполнения кода атакующего при обращении клиента к вредоносному SSH-серверу, в том числе на стадии до прохождения аутентификации.
Уязвимость в эмуляторе облачных окружений Floci, позволяющая обойти IAM-ограничения и добиться удалённого выполнения кода через отправку HTTP-запроса к REST API при использовании сервиса API Gateway и наличии непривилегированного доступа к API.
Уязвимость (use-after-free) в DNS-библиотеке c-ares, приводящая к запуску кода злоумышленника при обращении к подконтрольному атакующему DNS-серверу при вызове функции ares_getaddrinfo().
Состояние гонки в Docker, которое можно использовать для записи файла в область вне целевого каталога при копировании администратором данных из контейнера в хост-окружение командой "docker cp <container>:/tmp/src <host-destination>.
Уязвимость в сетевом сканере nmap, приводящая к целочисленному переполнению из-за некорректной обработки размера в коде для парсинга заголовков пакетов IPv6.
Уязвимость в реализации AI-режима "Smart Window" в Firefox, приводящая к утечке конфиденциальных данных и истории посещений через подстановку инструкций для AI-агента в открываемый контент.
Уязвимость в 7-Zip, которую можно использовать в Windows для подмены других файлов при распаковке специально оформленных RAR-архивов.
Уязвимость в act_runner в платформе совместной разработки Gitea, позволяющая выйти из контейнера и получить root-доступ к хост-системе при наличии возможности выполнения своих обработчиков через Gitea Actions.
Переполнение буфера в мультимедийном проигрывателе VLC, эксплуатируемое при декодировании специально оформленного видео в формате VP9.
Уязвимость в PHP, вызванная неправильной обработкой типов (Type Confusion) и позволяющая добиться выполнения своего кода при обработке HTTP-ответа от вредоносного SOAP-сервера.
Уязвимость в OpenVPN Connect для Windows, позволяющая добиться выполнения кода на стороне клиента при подключении к вредоносному VPN-серверу, после того как пользователь импортирует ovpn-профиль с настройками для подключения к этому серверу.
Уязвимость класса HTTP Request Smuggling в библиотеке nghttp2 в реализации прокси-сервера nghttpx, позволяющая вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом (например, для подстановки вредоносного JavaScript-кода в сеанс другого пользователя с сайтом).
Уязвимость в панели управления MyBB Admin CP, позволяющая модератору, имеющему право управления пользователями в форуме, создать учётную запись с правами главного администратора.
Уязвимость в платформе удаленного управления RustDesk, позволяющая совершить MITM-атаку для отключения шифрования и подстановки нажатий клавиш в сеанс пользователя.
Уязвимость в утилите objdump, позволяющая добиться выполнения кода при анализе утилитой специально оформленных объектных файлов в формате ELF/DLX.

исправить +13 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65794-ffmpeg

Ключевые слова: ffmpeg, vlc, firefo, docker, php, openvpn, nmap, libssh2, nghttp2, 7zip

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (56)

1.1, Аноним (1), 14:06, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	–5 +/–
Не, вернняк, Михос 5 тут не причем. Кожаные инженеры во все тысячи глаз рассмотрели кучу зеро-дей.

2.8, Аноним (8), 14:23, 28/06/2026 [^] [^^] [^^^] [ответить]	+4 +/–
RustDesk и OpenVPN - самые смачные

3.9, Аноним (1), 14:26, 28/06/2026 [^] [^^] [^^^] [ответить]	+1 +/–
С КВН понятно,анонимности не существует в цифровом мире, а Раст уже устарел даже концептуально.

4.20, Аноним (20), 15:20, 28/06/2026 [^] [^^] [^^^] [ответить]	+2 +/–
Да еп, хорошо же сидели. Только-только дошел до структур раста в книжке, уже про кортежи знаю и кто такой этот боровер, а тут на тебе - всё зря. И что там в итоге модное молодёжное не устаревшее, чтобы и конпелялось и были дополнительные проверки типа Verus.

5.29, Аноним (1), 16:00, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
Нейронки.

4.55, myster (ok), 18:23, 28/06/2026 [^] [^^] [^^^] [ответить]

+/–

> С КВН понятно,анонимности не существует в цифровом мире,

В данной уязвимости OpenVPN что вам конкретно понятно?
Надо же, запуск произвольной команды или скрипта называют "уязвимостью"...

В других VPN-клиентах это подаётся, как фича, а не уязвимость. Для справки, почти все популярные VPN-клиенты позволяют добавить запуск произвольной команды на стороне клиента. И да, это вызывает опасения у тех, кто понимает опасность, но тем не менее вендорам VPN как-то пофиг на эти опасения.

5.60, Аноним (1), 19:15, 28/06/2026 [^] [^^] [^^^] [ответить]	–2 +/–
Неудивительно, что подобный софт дырявый.

3.76, Аноним (76), 22:12, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
Да вообще нет там ничего смачного. 23 уязвимости и ничего такого что бы использовали нормальные люди. Много шума, реклама очередного ИИшака - если вчитаться, ничего серьезного. Даже нечего обновлять.

2.74, Tron is Whistling (?), 22:06, 28/06/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Кожаные хацкеры это нашли бы в лучшем случае году к 3030.

1.2, Аноним (2), 14:08, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	–5 +/–
Вроде про переполнение буффера ничего нет, значит сишка - ТРУЪ язык!

2.7, aname (ok), 14:22, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
Таки у VLC, но только при обработке VP9

3.67, Аноним (67), 21:04, 28/06/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Это неважно. Для генерации всех превьюх в файловых менеджерах используется он. Соответсвтенно, любой такой файл прокинет тебе шел на тачку.

2.10, Аноним (10), 14:35, 28/06/2026 [^] [^^] [^^^] [ответить]

+4 +/–

> Вроде про переполнение буффера ничего нет, значит сишка - ТРУЪ язык!

Первым же пунктом:
> Переполнение буфера в мультимедийном пакете FFmpeg,

...

objdump:
https://github.com/4D4J/objdump-Out-Of-Bounds-write
> // bfd/elf32-dlx.c — elf32_dlx_relocate26()
> insn = bfd_get_32(abfd, data + reloc_entry->address); // OOB read

Ну и остальные из похожей оперы "UB-грабли и их правильный обход, попытка 100500"
> Две уязвимости в библиотеке libssh2, вызванные целочисленными переполнениями
> Уязвимость (use-after-free) в DNS-библиотеке c-ares,
> Уязвимость в сетевом сканере nmap, приводящая к целочисленному переполнению

И ведь ЧСХ весь список: или ошибка в логике на не-сишном-ЯП или вылезание за пределы буфера или неправильное сложение чисел на ней самой, родимой.

1.3, Аноним (3), 14:08, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>на момент публикации эксплоитов информация о проблемах не была сообщена разработчикам уязвимых проектов Мда... И чего хотел добиться ?

2.4, Аноним (4), 14:13, 28/06/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Вероятно, пиарит либо модель, либо себя

3.80, Аноним (80), 22:55, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
> Вероятно, пиарит либо модель, либо себя Себя-то как, он же анонимный исследователь.

2.5, Аноним (5), 14:15, 28/06/2026 [^] [^^] [^^^] [ответить]	+3 +/–
Никто ничего тебе не должен.

3.15, Аноним (3), 14:57, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
При чём тут должен или нет, вопрос в другом был.

4.22, Аноним (5), 15:40, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
> При чём тут должен или нет, вопрос в другом был. Ответ в этом.

2.24, Аноним (24), 15:44, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
пиар,чсв++

3.36, Аноним (3), 16:53, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
Ну по факту этого его перформанса показался чудаком на букву м.

2.26, Аноним (-), 15:52, 28/06/2026 [^] [^^] [^^^] [ответить]	+1 +/–
>I PROMISE THE WAIT WILL BE WORTH IT! After this, you guys will usually get one new PoC a day >If you wish to collaborate/discuss with me, contact me on discord @ashdfrkl может он хочет общения и новых контактов

2.32, Аноним (32), 16:42, 28/06/2026 [^] [^^] [^^^] [ответить]	–2 +/–
> Мда... И чего хотел добиться ? того, что в большинстве случаях это явным образом добавленные бекдоры. Отсюда вопрос, вам сообщают когда добавляют новую порцию бекдоров? Нет? А чего вы хотите от разоблачителя?

3.35, Аноним (3), 16:51, 28/06/2026 [^] [^^] [^^^] [ответить]	–1 +/–
В чём явность ? На конкретном примере покажите.

4.39, Аноним (32), 17:14, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
Уязвимость use-after-free в DNS-библиотеке c-ares, приводящая к запуску кода з... большой текст свёрнут, показать

5.42, Аноним (3), 17:25, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
>достаточно? Достаточно копировать то, что и так написано в посте.

6.44, Аноним (32), 17:38, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
> Достаточно копировать то, что и так написано в посте. а что там написано? ЫЫ боты копировать не умеют, покажи, что ты не ЫЫ-шный бот.

5.49, Аноним (-), 17:55, 28/06/2026 Скрыто ботом-модератором [к модератору]	+/–

6.57, Аноним (32), 19:12, 28/06/2026 Скрыто ботом-модератором [к модератору]	–1 +/–

7.71, Аноним (-), 21:45, 28/06/2026 Скрыто ботом-модератором [к модератору]	+/–

8.82, Аноним (32), 23:18, 28/06/2026 Скрыто ботом-модератором [к модератору]	+/–

2.38, Аноним (38), 17:13, 28/06/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Всё правильно сделал. Все эти соевые рекомендации об "отвественном" раскрытии уязвимостей были бесполезны и до ИИ. А теперь они бесполезны четырежды. Если корпа вам не готова заплатить за эмбарго да хотя бы 1000$ в день, публикуйте сразу, с рабочими прототипами эксплоитов. Шансы что никто больше не догадался там посмотреть околонулевые. Так что либо в паблик сразу, либо чуть позже, но за деньги.

3.46, Аноним (3), 17:39, 28/06/2026 [^] [^^] [^^^] [ответить]

+1 +/–

>Если корпа вам не готова заплатить за эмбарго да хотя бы 1000$ в день

О да, борец с корпами, например такими как FFmpeg, 7zip, VLC.

Ну борец прям. Обычно те кто называет кого-то "соевыми" сам обычно оказывается... как бы так сказать, да ладно.

3.48, Аноним (-), 17:48, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
>публикуйте сразу, с рабочими прототипами эксплоитов в некоторых юрисдикциях может быть а-та-та

4.58, Аноним (32), 19:13, 28/06/2026 [^] [^^] [^^^] [ответить]

+/–

> в некоторых юрисдикциях может быть а-та-та

ну ка пример такой юрисдикции в студию

1.13, Аноним (13), 14:49, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Чем безопаснее язык, тем абсурднее уязвимости: > PHP, вызванная неправильной обработки типов (Type Confusion) и позволяющая добиться выполнения своего кода при обработке HTTP-ответа от вредоносного SOAP-сервера.

1.14, АДмин (?), 14:50, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Сколько комментаторов с ОпенНета проэксплуатировали хоть одну уязвимость и отписались что да всё работает ! 0 Карл 0

2.17, IdeaFix (ok), 15:05, 28/06/2026 [^] [^^] [^^^] [ответить]	+2 +/–
7зип работает, остальное очень уж лениво...

2.40, Аноним (32), 17:16, 28/06/2026 [^] [^^] [^^^] [ответить]	+1 +/–
запусти, в чем проблема?

1.21, Аноним (-), 15:24, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
>По словам исследователя, на момент публикации эксплоитов информация о проблемах не была сообщена разработчикам уязвимых проектов На Github исследователь пишет "Cybercrime is cringe", при этом публикует 0-day эксплоиты Всё ок?

2.23, iPony128052 (?), 15:41, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
Опенсорс. Всё в открытую.

3.28, Аноним (-), 15:55, 28/06/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Как это меняет суть?

2.27, devrdskc0t0d0s1 (-), 15:55, 28/06/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Правильно, и ещё как. Иначе - разработчики не зашевелятся, либо информацию могут просто скрыть, либо подать ложную. Чем больше начнут подобного делать, тем быстрее начнут подобное фиксить, и даже, может, грамотно писать код, ещё и минималистичный.

2.41, Аноним (32), 17:17, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
> при этом публикует 0-day эксплоиты для вас это крайм? Крайм, когда вам в лицо врут, что олл сейф :)

3.45, Аноним (-), 17:39, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
>для вас это крайм? Крайм Крайм [в части юрисдикций] следует после публикации 0-day эксплоитов

4.59, Аноним (32), 19:14, 28/06/2026 [^] [^^] [^^^] [ответить]

+/–

> Крайм [в части юрисдикций] следует после публикации 0-day эксплоитов

давай конкретнее, где и в какой юрисдикции, выше такой же комент.

5.65, Аноним (65), 20:44, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
> давай конкретнее, где и в какой юрисдикции, выше такой же комент. США, например обычно называют киберпреступлениями

6.84, Аноним (32), 23:22, 28/06/2026 [^] [^^] [^^^] [ответить]

+/–

>обычно называют киберпреступлениями

ты определение киберпреступления в США дай сначала (по всем штатам)

7.85, Аноним (85), 23:38, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
> ты определение киберпреступления в США дай сначала (по всем штатам) вы их сами можете посмотреть в соответствующих справочниках (если вас интересуют точные по юрисдикциям)

1.25, Аноним (25), 15:47, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Недавно в Ubuntu LTS с подпиской Pro пришло исправление ffmpeg

2.33, Аноним (33), 16:42, 28/06/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Не зря им деньги платишь.

2.53, Rev (ok), 18:18, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
В Debian без подписки тоже пришло.

1.31, Аноним (33), 16:41, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Если уязвимость "зеро-дэй" - 0-day, никаких отпусков и праздников! Всем латать дыры!

2.47, Аноним (-), 17:41, 28/06/2026 [^] [^^] [^^^] [ответить]	+/–
может быть это был план исследователя сорвать праздники

1.56, Аноним (56), 19:07, 28/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
>Уязвимость в OpenVPN Connect для Windows, позволяющая добиться выполнения кода на стороне клиента при подключении к вредоносному VPN-серверу Не могу представить себе более-менее реалистичный сценарий, как заставить нормального пользователя (не дебила) подключать OVPN к вредоносному VPN-серверу.

1.86, RM (ok), 00:30, 29/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Анонимный исследователь ... > I DO actually have a degree in the subject and have published multiple papers on fuzzing methodology. Чо то он плохо заанонился, вычислить по такой заявке несложно мне кажется

игнорирование участников | лог модерирования

Добавить комментарий

Текст: