sql-инъекция

Уязвимость CVE-2025-64492 получила 8,8 балла по шкале CVSS. Компания «СайберОК» сообщила о 0-day-уязвимости в SuiteCRM — CRM-системе с открытым исходным кодом, созданной на базе SugarCRM. Ошибка связана с непринятием мер по защите структуры SQL-запроса (CWE-89) и может позволить...

Массовые взломы стартовали 21 августа, однако полная картина происходящего стала доступна только сейчас. В экосистеме IP-телефонии обнаружили и сразу же стали активно использовать уязвимость в FreePBX — сообщество заметило массовые компрометации ещё 21 августа 2025 года, а затем на...

Разработчики рекомендуют изолировать системы от внешних сетей до установки патчей. В продукции Mitel обнаружена серьёзная уязвимость , способная полностью подорвать безопасность корпоративной IP-телефонии. Речь идёт о критической ошибке в системе управления Provisioning Manager, входящей в...

Python и MySQL объединились против FortiWeb в самой изощренной атаке лета. Компания Fortinet выпустила обновления безопасности для FortiWeb, устраняющие серьёзную уязвимость , которая открывала злоумышленникам возможность удалённого выполнения произвольных SQL-запросов без какой-либо...

23 уязвимости — и один шанс их не проверять на себе: апдейт до 7.0 уже вышел. Команда Positive Technologies выявила 23 уязвимости ( BDU:2024-06382 — BDU:2024-06404 ) в отечественной системе управления сайтами NetCat CMS, которая используется более чем на 15 тысячах порталах и входит в...

Миллионы атак и заблокированные IP: как защищали Игры в Харбине. Китайский CVERC заявил о серии кибератак, направленных против Зимних Азиатских игр , прошедших в феврале. В докладе утверждается, что атаки исходили от зарубежных государств и были нацелены на ключевые цифровые...

Как китайский чат-бот превратил смартфоны в инструмент слежки. Специалисты Security Scorecard обнаружили уязвимости в мобильных приложениях DeepSeek для iOS и Android . Согласно отчету компании, приложения не демонстрируют явного вредоносного поведения, но слабая защита данных и...

Проблема затрагивает все версии программного обеспечения до свежего релиза. Фонд Apache Software Foundation выпустил обновления безопасности для устранения критической уязвимости в системе Traffic Control. Обнаруженный недостаток получил максимально высокую оценку опасности — 9.9 баллов из 10...

Невидимые угрозы стали явными и показали своё истинное лицо. На прошедшем в конце октября мероприятии Pwn2Own Ireland 2024 исследователи выявили уязвимости в популярных устройствах, включая NAS -системы, камеры и другие подключённые устройства. Среди затронутых оказалась продукция компании...

США нанесли серьезный удар по кибершпионажу Китая. Министерство финансов США ввело санкции против китайской компании Sichuan Silence и её сотрудника за атаки с помощью программы-вымогателя Ragnarok. Атаки 2020 года были направлены на критически важные объекты инфраструктуры в США и других...

Positive Technologies составили дайджест 7 трендовых ошибок, на которые нужно срочно обратить внимание. В сентябре 2024 года специалисты компании Positive Technologies выделили 7 ключевых уязвимостей, которые стали трендовыми. Среди них – проблемы безопасности в продуктах Microsoft...

Меньше года вредоносной активности может обернуться многолетним сроком заключения. Украинская киберполиция по Днепропетровской области задержала хакера, продавшего базы данных тысяч пользователей. 25-летний житель города Каменское взломал около 10 тысяч электронных почтовых ящиков для кражи и...

Ошибка в системе оголяет защиту авиакомпаний. Исследователи обнаружили уязвимость в системе безопасности воздушного транспорта, которая позволяла неавторизованным лицам обойти проверку безопасности в аэропортах и получить доступ к кабинам пилотов. В ходе исследования, Иан Кэрролл и Сэм...

Администраторам нужно срочно принять меры для защиты сети. Компания F5 объявила об устранении двух критических уязвимостей в системе управления BIG-IP Next Central Manager, которые могли быть использованы для получения административного доступа и создания скрытных несанкционированных...

Хакеры тщательно скрывают следы атаки и предотвращают конкуренцию. Киберпреступники начали эксплуатировать критическую уязвимость в плагине WP Automatic для WordPress , что позволяет создавать учетные записи с административными привилегиями и устанавливать бэкдоры для долгосрочного доступа...

Как простой WordPress-плагин способен подорвать веб-безопасность вашего продукта. В распространённом плагине WordPress под названием LayerSlider, используемом на более чем миллионе веб-сайтов для создания адаптивных слайдеров, галерей изображений и анимаций, недавно была обнаружена...

Администраторам нужно принять меры для защиты корпоративных систем. Исследователи безопасности Horizon3 обнародовали PoC -эксплоит критической уязвимости Fortinet FortiClient EMS, которая в настоящее время активно используется хакерами. Уязвимость SQL-инъекции CVE-2023-48788 (оценка...

GPT-4 лучше и дешевле пентестеров в поиске уязвимостей. В новом исследовании ученых из Университета Иллинойса в Урбана-Шампейн (UIUC), было показано, что большие языковые модели (LLM) можно использовать для взлома веб-сайтов без участия человека. Исследование демонстрирует, что...

В современном мире бездействие стоит очень дорого. Крупная частная радиологическая компания в США US Radiology согласилась выплатить штраф в размере $450 000 за утечку данных почти 200 000 пациентов после атаки программы-вымогателя в 2021 году. Компания использовала брандмауэр от...

Подразделение, ответственное за выпуск PlayStation, не выдержало киберпоединка с группой Clop. Sony Interactive Entertainment (SIE), подразделение известной фирмы, ответственное за разработку консолей PlayStation, подтвердило утечку данных своих бывших сотрудников – почти 6800 человек...

Неудачная шутка хакера может обернуться проблемой для более 500 млн. пользователей WinRAR. Согласно исследованию Palo Alto Networks, киберзлоумышленник, известный под ником «whalersplonk», воспользовался уязвимостью удаленного выполнения кода (Remote Code Execution, RCE) в WinRAR (...

К победному счету группировки прибавилась фирма Ernst & Young. Ernst & Young (EY), одна из крупнейших в мире аудиторских и консалтинговых компаний, сообщила об утечке данных более 30 000 клиентов Банка Америки. Причиной стала очередная кибератака через систему MOVEit Transfer , которая...

Правительство США опубликовало список 25 слабых мест ПО, которые приводят к катастрофическим последствиям. Правительство США составило рейтинг самых распространенных и значимых слабых мест программного обеспечения, которые приводят к опасным уязвимостям в системах и приложениях. Список CWE...

Взлом регулирующего органа через уязвимость MOVEit Transfer помог раскрыть необходимую информацию. Управление связи Великобритании ( Ofcom ) заявило, что банда вымогателей Clop с помощью уязвимости в ПО MOVEit Transfer украла из сетей Ведомства конфиденциальную информацию о компаниях...

Компания выпустила обновления, но большинство клиентов их проигнорировали. Более 67000 сетевых хранилищ QNAP до сих пор не получили обновления с исправлением критической уязвимости, которую QNAP устранила на этой неделе. Уязвимость SQL-инъекции CVE-2022-27596 (CVSS: 9,8) позволяет...