уязвимость

CVE на сцене, деньги в кармане, уязвимость в системе — как прошёл Pwn2Own для Firefox. Mozilla выпустила экстренные обновления безопасности для Firefox — всего через несколько часов после завершения хакерского соревнования Pwn2Own Berlin 2025 . Причиной стали две критические уязвимости...

Всего один клик — и у руля уже кто-то другой, без ввода имени и пароля. Плагин Eventin, который используется для управления мероприятиями на WordPress-сайтах, оказался уязвим для крайне опасной атаки. Обнаруженная уязвимость позволяла любому человеку — даже без регистрации на сайте —...

Премия в $150 000 и новый этап в истории уязвимостей гипервизоров На проходящем в Берлине хакерском турнире Pwn2Own случилось историческое событие: элитные специалисты по безопасности впервые смогли успешно взломать гипервизор VMware ESXi с помощью ранее неизвестной уязвимости нулевого дня...

Хакеры снова спасают пользователей раньше Microsoft. На первом дне хакерского соревнования Pwn2Own 2025 в Берлине исследователи взломали Windows 11 сразу тремя разными способами, получив полный доступ к системе. Все они использовали ранее неизвестные уязвимости — так называемые zero-day — и...

Ошибка в edna затронула российские ресурсы. Команда СайберОК выявила уязвимость типа IDOR (Insecure Direct Object Reference) в механизмах интеграции Chat-центра от edna. Она позволяет неаутентифицированному пользователю получить несанкционированный доступ к любым чатам, включая переписки...

23 уязвимости — и один шанс их не проверять на себе: апдейт до 7.0 уже вышел. Команда Positive Technologies выявила 23 уязвимости ( BDU:2024-06382 — BDU:2024-06404 ) в отечественной системе управления сайтами NetCat CMS, которая используется более чем на 15 тысячах порталах и входит в...

Один PoC — и вся инфраструктура в руках хакеров. Корпорация Samsung выпустила обновление безопасности для MagicINFO 9 Server, устраняющее критическую уязвимость , которая уже использовалась хакерами в реальных атаках. Речь идёт о CVE-2025-4632 — уязвимости с оценкой CVSS 9.8, связанной...

На серверы уже загружены шеллы, а дальше — только хуже. Крупнейшие группировки вымогателей начали активно эксплуатировать уязвимость в SAP NetWeaver, получившую идентификатор CVE-2025-31324 и оценку CVSS: 10.0. С её помощью злоумышленники могут загружать вредоносные файлы на серверы без...

Пока вы подбираете шрифт, вредоносный код уже забирает права администратора. Компания Adobe выпустила внеплановые обновления безопасности для Photoshop 2024 и 2025, устранив сразу три критические уязвимости с оценкой 7.8 по шкале CVSS — CVE-2025-30324 , CVE-2025-30325 и CVE-2025-30326...

SAP недооценила последствия Visual Composer. Атаки на серверы SAP NetWeaver, начавшиеся с эксплойта одной уязвимости нулевого дня, оказались гораздо серьёзнее, чем предполагалось изначально. Исследователи установили, что злоумышленники использовали сразу две критические уязвимости...

Shadowserver бьёт тревогу: сотни серверов как на ладони, атаки уже идут. Компания Ivanti предупредила клиентов о двух новых уязвимостях в программном обеспечении Ivanti Endpoint Manager Mobile (EPMM), которые уже используются злоумышленниками для удалённого выполнения кода. Ошибки...

Branch Privilege Injection затрагивает все CPU с 9-го поколения. Команда ETH Zurich обнаружила новую уязвимость архитектурного уровня во всех современных процессорах Intel, начиная с девятого поколения. Проблема получила название «Branch Privilege Injection» и отслеживается под...

Когда 0day долго остаётся без внимания, доступ к секретам получают совсем не те люди. APT -группировка Marbled Dust, связанная с правительством Турции, провела шпионскую атаку против пользователей Output Messenger, воспользовавшись уязвимостью нулевого дня в этом корпоративном мессенджере. В...

ASUS активирует Wi-Fi и админ-доступ для хакера. Пользователь, купивший материнскую плату ASUS, обнаружил , что программное обеспечение для установки драйверов, автоматически активируемое через BIOS, содержит уязвимость , позволяющую выполнить произвольный код с правами администратора —...

Цепочка из трёх уязвимостей SonicWall позволяет получить root и перехватить контроль над VPN-системой. SonicWall устранила сразу три критические уязвимости в устройствах безопасного удалённого доступа SMA 100, позволяющие злоумышленникам выполнить произвольный код от имени root. Учитывая...

Ubuntu делает безопасной ту самую команду, с которой всё рушится. Ubuntu 25.10, выход которого намечен на 9 октября 2025 года, станет первой версией системы, где по умолчанию будет использоваться sudo-rs — переписанная на Rust версия классической утилиты sudo. Это решение Canonical объясняет...

Если включить одну галочку, контроллер начнёт исполнять чужие команды. Cisco выпустила срочное обновление безопасности для устранения критической уязвимости в беспроводных контроллерах под управлением IOS XE. Ошибка получила идентификатор CVE-2025-20188 и оценку CVSS — 10.0 из 10 возможных...

Атакующим достаточно соединить баги в цепочку атак для полного захвата IT-инфраструктуры. Программное обеспечение SysAid, предназначенное для управления IT-услугами в локальной инфраструктуре, оказалось уязвимо перед целым рядом критических проблем безопасности, которые позволяют удалённое...

Цукерберг выставил крупный счёт тем, кто полез в его мессенджер. История с судебной тяжбой между Meta и израильской компанией NSO Group завершилась болезненным для последней приговором. Жюри присяжных в Калифорнии обязало NSO выплатить $167,4 млн компенсации за использование уязвимости в...

Исследователи подтвердили — угроза реальна и уже используется в реальных атаках. Уязвимость в Apache Parquet с оценкой 10.0 по шкале CVSS, получившая идентификатор CVE-2025-30065 , вышла на новый виток угрозы: исследователи из F5 Labs опубликовали рабочий эксплойт, доказывающий её...

Проверка кода — святое, особенно, когда проверяющий сразу его исполняет. Критическая уязвимость в платформе Langflow, предназначенной для визуального проектирования цепочек LLM, активно используется злоумышленниками. Проблема получила идентификатор CVE-2025-3248 и оценку 9,8 балла по...

Android обновился, но стал уязвим — уязвимость работает без тебя. Google выпустила очередное обновление безопасности для Android, устранив 46 уязвимостей, одна из которых уже активно используется в реальных атаках. Речь идёт о критической уязвимости, которая затрагивает системный компонент...

Механизмы безопасности неожиданно начали работать против пользователей. В начале 2025 года специалисты из команды реагирования на инциденты Stroz Friedberg компании Aon выявили новую схему обхода защитных механизмов решений класса EDR . Речь идёт о приёме, получившем название Bring...

Почему компании до сих пор не залатали эти очевидные бреши? Компания SonicWall снова оказалась в центре внимания после выявления и подтверждения активной эксплуатации нескольких уязвимостей в устройствах серии Secure Mobile Access (SMA). Производитель сообщил, что злоумышленники уже...

Исследователи выявили, как превратить любую нейросеть в послушную марионетку. Многие ведущие сервисы генеративного искусственного интеллекта оказались уязвимы к новым техникам обхода встроенных ограничений, позволяющим создавать вредоносный контент. Исследователи из CERT/CC обнаружили сразу...