уязвимость

Каждый загруженный файл мог запустить массовые рыночные манипуляции. Streamlit, популярный фреймворк с открытым исходным кодом, широко используемый для создания аналитических и машинно-обучающих веб-приложений, оказался под угрозой из-за критической уязвимости в компоненте загрузки файлов...

148 компаний думали, что патчи работают. Масштабная кампания по эксплуатации цепочки уязвимостей Microsoft SharePoint продолжает набирать обороты, теперь с участием группировок-вымогателей. В ходе анализа серии атак специалисты Palo Alto Networks (подразделение Unit 42) обнаружили внедрение...

От конфиденциальности до «копируй и вставляй» — один клик. Компания Proton, известная своей ориентацией на приватность и безопасность, допустила досадную ошибку в своей новой разработке — приложении Proton Authenticator для двухфакторной аутентификации. В версии для iOS TOTP-секреты...

CVE-2025-54574 превращает обычный URN-запрос в оружие массового поражения. В прокси-сервере Squid выявлена критическая уязвимость , ведущая к удалённому выполнению произвольного кода. Проблема затрагивает почти все активно используемые версии, а из-за широкого распространения самого ПО...

Внедрение вредоносного кода через инструмент защиты — лишь вопрос времени. В популярной платформе MITRE Caldera , предназначенной для моделирования атак и тестирования защиты, была выявлена критическая уязвимость, способная привести к удалённому выполнению кода. Проблему обнаружил...

В Cursor обнаружена критическая брешь для тихих атак без вложений, вирусов и ссылок. В редакторе исходного кода Cursor, использующем искусственный интеллект для помощи программистам, была обнаружена критическая уязвимость, получившая идентификатор CVE-2025-54135 и условное название...

Глубоко в стеке пряталась дверь, которую просто забыли закрыть. Осенью 2024 года команда багхантеров InfoSect готовила атаку для участия в соревновании Pwn2Own Ireland, нацеленной на удалённое выполнение кода в IP-камере Synology TC500. Основой для эксплуатации стал дефект в реализации...

100 моделей ИИ протестировали на безопасность. Почти все провалились. Искусственный интеллект всё чаще становится помощником программистов, но исследование Veracode показало: за удобством кроется угроза безопасности. Анализ 100 крупных языковых моделей (LLM) выявил тревожную закономерность —...

Хакеры уже вовсю штудируют код — кто сумеет забрать главный приз? Организаторы крупнейшего хакерского соревнования Pwn2Own объявили награду , которая моментально сместила фокус всей индустрии: за демонстрацию полноценной уязвимости нулевого взаимодействия (zero-click) в WhatsApp можно будет...

У вас есть всего несколько часов, чтобы защитить свой сайт от армии хакеров. В популярной WordPress-теме для благотворительных организаций «Alone — Charity Multipurpose Non-profit» обнаружена критическая уязвимость, которая уже используется злоумышленниками для захвата сайтов. Уязвимость...

Система мониторинга транспорта оказалась уязвимой. Исследователь CyberOK выявил множественные уязвимости в AutoGRAPH Web — программной платформе для мониторинга транспорта, персонала и объектов инфраструктуры. Более 650 экземпляров этой системы работают в российском сегменте интернета, причём...

Миллионы устройств оказались шлюзом для вторжения злоумышленников. Исследователи из компании Bitdefender сообщили о двух критических уязвимостях в прошивке интеллектуальных камер видеонаблюдения Dahua. Проблемы касаются реализации протокола ONVIF и механизма загрузки файлов, что позволяет...

Lovense утратила контроль: баг раскрывает личные данные даже без взлома. В платформе Lovense, которая давно заняла нишу благодаря управляемым через приложение секс-игрушкам (включая такие модели, как Lush, Gush и Kraken), исследователи выявили критическую уязвимость, позволяющую получить...

Кто бы знал, что один README.md может превратить ИИ-помощника в инструмент слива данных. В недавно выпущенном инструменте командной строки от Google — Gemini CLI — была обнаружена серьёзная уязвимость, позволяющая атакующим незаметно выполнять вредоносные команды и передавать данные с...

Они не обновляются. Они не защищены. И они уже работают на злоумышленников. Умные устройства в сети — больше не помощники, а потенциальные враги. С каждым новым термостатом или телевизором, подключённым к интернету, в инфраструктуре появляется новая дыра. Об этом напоминает свежая угроза ...

Партнёрская сеть Microsoft под подозрением. Microsoft признала, что июльские обновления безопасности не устранили все уязвимости в локальных версиях SharePoint, которые позволяют злоумышленникам удалённо исполнять код. В результате атаки продолжаются, и эксперты считают, что произошло...

Как всего несколько строк кода поставили под удар полмиллиона веб-сайтов. Более 200 тысяч сайтов на WordPress остаются уязвимыми из-за критической ошибки в популярном плагине Post SMTP , позволяющей злоумышленникам получить полный контроль над администраторской учётной записью. Уязвимость...

Модель такая умная, что Сэму Альтману стало неловко. OpenAI готовится к запуску новой языковой модели GPT-5, релиз которой ожидается уже в начале августа. Ранее в этом году сообщалось, что инженеры Microsoft готовят серверные мощности для следующей версии модели, изначально планировавшейся к...

Разработчики рекомендуют изолировать системы от внешних сетей до установки патчей. В продукции Mitel обнаружена серьёзная уязвимость , способная полностью подорвать безопасность корпоративной IP-телефонии. Речь идёт о критической ошибке в системе управления Provisioning Manager, входящей в...

Каждая минута без апдейта — шанс для незваного гостя. Недавно обнаруженные критические уязвимости в инфраструктуре Cisco, уже активно используются злоумышленниками для атак на корпоративные сети. Компания официально подтвердила , что её команда реагирования на инциденты безопасности (PSIRT)...

Китайцы нашли обход, пока вы обновлялись. Microsoft подтвердила, что за атакой на локальные инсталляции SharePoint Server стоят три хакерские группы, связанные с Китаем. Как следует из отчёта Microsoft , ещё с начала июля уязвимости CVE-2025-53770 и CVE-2025-53771 активно эксплуатировались...

Пользователи думали, что невидимы в сети, а сами «светились» как новогодняя ёлка. Сервис ExpressVPN устранил уязвимость в Windows-клиенте, которая позволяла обходить VPN-туннель при использовании протокола удалённого рабочего стола (RDP), раскрывая реальные IP-адреса пользователей. Проблема...

Чем больше обновлений ставят админы, тем сильнее маскируются уже внедрённые бэкдоры. Пару дней назад мы писали о критической уязвимости нулевого дня CVE-2025-53770 в Microsoft SharePoint Server, которая представляет собой усовершенствованную версию бага CVE-2025-49706 . Тогда было...

Раскрыта новая схема слежки через мобильные сети. Специалисты компании Enea, занимающейся кибербезопасностью в сфере мобильной связи, обнаружили , что одна из фирм, связанная с государственным надзором в странах Ближнего Востока, использовала новую схему атаки на телекоммуникационные сети...

Миллиарды корпоративных файлов перекочевали в даркнет из-за CVE-2025-54309. Сервис CrushFTP столкнулся с новой критической уязвимостью, которая уже используется в реальных атаках. Уязвимость получила идентификатор CVE-2025-54309 и оценку 9.0 по шкале CVSS. Ошибка касается некорректной...