уязвимость

Глубоко в стеке пряталась дверь, которую просто забыли закрыть. Осенью 2024 года команда багхантеров InfoSect готовила атаку для участия в соревновании Pwn2Own Ireland, нацеленной на удалённое выполнение кода в IP-камере Synology TC500. Основой для эксплуатации стал дефект в реализации...

100 моделей ИИ протестировали на безопасность. Почти все провалились. Искусственный интеллект всё чаще становится помощником программистов, но исследование Veracode показало: за удобством кроется угроза безопасности. Анализ 100 крупных языковых моделей (LLM) выявил тревожную закономерность —...

Хакеры уже вовсю штудируют код — кто сумеет забрать главный приз? Организаторы крупнейшего хакерского соревнования Pwn2Own объявили награду , которая моментально сместила фокус всей индустрии: за демонстрацию полноценной уязвимости нулевого взаимодействия (zero-click) в WhatsApp можно будет...

У вас есть всего несколько часов, чтобы защитить свой сайт от армии хакеров. В популярной WordPress-теме для благотворительных организаций «Alone — Charity Multipurpose Non-profit» обнаружена критическая уязвимость, которая уже используется злоумышленниками для захвата сайтов. Уязвимость...

Система мониторинга транспорта оказалась уязвимой. Исследователь CyberOK выявил множественные уязвимости в AutoGRAPH Web — программной платформе для мониторинга транспорта, персонала и объектов инфраструктуры. Более 650 экземпляров этой системы работают в российском сегменте интернета, причём...

Миллионы устройств оказались шлюзом для вторжения злоумышленников. Исследователи из компании Bitdefender сообщили о двух критических уязвимостях в прошивке интеллектуальных камер видеонаблюдения Dahua. Проблемы касаются реализации протокола ONVIF и механизма загрузки файлов, что позволяет...

Lovense утратила контроль: баг раскрывает личные данные даже без взлома. В платформе Lovense, которая давно заняла нишу благодаря управляемым через приложение секс-игрушкам (включая такие модели, как Lush, Gush и Kraken), исследователи выявили критическую уязвимость, позволяющую получить...

Кто бы знал, что один README.md может превратить ИИ-помощника в инструмент слива данных. В недавно выпущенном инструменте командной строки от Google — Gemini CLI — была обнаружена серьёзная уязвимость, позволяющая атакующим незаметно выполнять вредоносные команды и передавать данные с...

Они не обновляются. Они не защищены. И они уже работают на злоумышленников. Умные устройства в сети — больше не помощники, а потенциальные враги. С каждым новым термостатом или телевизором, подключённым к интернету, в инфраструктуре появляется новая дыра. Об этом напоминает свежая угроза ...

Партнёрская сеть Microsoft под подозрением. Microsoft признала, что июльские обновления безопасности не устранили все уязвимости в локальных версиях SharePoint, которые позволяют злоумышленникам удалённо исполнять код. В результате атаки продолжаются, и эксперты считают, что произошло...

Как всего несколько строк кода поставили под удар полмиллиона веб-сайтов. Более 200 тысяч сайтов на WordPress остаются уязвимыми из-за критической ошибки в популярном плагине Post SMTP , позволяющей злоумышленникам получить полный контроль над администраторской учётной записью. Уязвимость...

Модель такая умная, что Сэму Альтману стало неловко. OpenAI готовится к запуску новой языковой модели GPT-5, релиз которой ожидается уже в начале августа. Ранее в этом году сообщалось, что инженеры Microsoft готовят серверные мощности для следующей версии модели, изначально планировавшейся к...

Разработчики рекомендуют изолировать системы от внешних сетей до установки патчей. В продукции Mitel обнаружена серьёзная уязвимость , способная полностью подорвать безопасность корпоративной IP-телефонии. Речь идёт о критической ошибке в системе управления Provisioning Manager, входящей в...

Каждая минута без апдейта — шанс для незваного гостя. Недавно обнаруженные критические уязвимости в инфраструктуре Cisco, уже активно используются злоумышленниками для атак на корпоративные сети. Компания официально подтвердила , что её команда реагирования на инциденты безопасности (PSIRT)...

Китайцы нашли обход, пока вы обновлялись. Microsoft подтвердила, что за атакой на локальные инсталляции SharePoint Server стоят три хакерские группы, связанные с Китаем. Как следует из отчёта Microsoft , ещё с начала июля уязвимости CVE-2025-53770 и CVE-2025-53771 активно эксплуатировались...

Пользователи думали, что невидимы в сети, а сами «светились» как новогодняя ёлка. Сервис ExpressVPN устранил уязвимость в Windows-клиенте, которая позволяла обходить VPN-туннель при использовании протокола удалённого рабочего стола (RDP), раскрывая реальные IP-адреса пользователей. Проблема...

Чем больше обновлений ставят админы, тем сильнее маскируются уже внедрённые бэкдоры. Пару дней назад мы писали о критической уязвимости нулевого дня CVE-2025-53770 в Microsoft SharePoint Server, которая представляет собой усовершенствованную версию бага CVE-2025-49706 . Тогда было...

Раскрыта новая схема слежки через мобильные сети. Специалисты компании Enea, занимающейся кибербезопасностью в сфере мобильной связи, обнаружили , что одна из фирм, связанная с государственным надзором в странах Ближнего Востока, использовала новую схему атаки на телекоммуникационные сети...

Миллиарды корпоративных файлов перекочевали в даркнет из-за CVE-2025-54309. Сервис CrushFTP столкнулся с новой критической уязвимостью, которая уже используется в реальных атаках. Уязвимость получила идентификатор CVE-2025-54309 и оценку 9.0 по шкале CVSS. Ошибка касается некорректной...

HPE предупреждает об уязвимости в Aruba Instant On. Компания Hewlett-Packard Enterprise предупредила о критической уязвимости в точках доступа Aruba Instant On. В устройствах обнаружены встроенные учётные данные, с помощью которых злоумышленники могут обойти стандартную авторизацию и получить...

Украденные ключи делают патчи бессмысленными. В Microsoft SharePoint Server обнаружена критическая уязвимость , которую уже начали использовать в ходе масштабной хакерской кампании. Речь идёт о нулевом дне с идентификатором CVE-2025-53770, которому присвоена угрожающая оценка 9.8 балла из...

CVE-2020-0688 снова в деле. Но теперь с новым лицом. <article> Команда аналитиков из Лаборатории Касперского обнаружила крайне изощрённую вредоносную программу, внедрённую в Exchange-инфраструктуру правительственных учреждений. По данным журналов и характеру исполняемого кода, заражение...

Даже один скомпрометированный контейнер даёт доступ к данным всех клиентов на сервере. Компания Wiz, специализирующаяся на облачной безопасности, выявила опасную уязвимость в NVIDIA Container Toolkit, получившую идентификатор CVE-2025-23266 и оценку 9.0 по шкале CVSS. Проблема...

Никто не защищён — даже те, кто думает иначе. Cisco выпустила обновлённое предупреждение о критической уязвимости в своих продуктах Identity Services Engine (ISE) и ISE Passive Identity Connector (ISE-PIC), которая позволяет злоумышленнику удалённо запускать произвольный код на операционной...

Архитектура корпоративных брандмауэров оказалась идеальной для незаметного взлома. Атаки на устаревшие устройства SonicWall SMA 100 вновь обнажили уязвимость сетевых рубежей, на которые зачастую не распространяется действие традиционных систем защиты. По данным Google Threat Intelligence...