xss

Уязвимость в Zimbra показала, что даже ваш цифровой ежедневник может быть шпионом. Специалисты StrikeReady выявили серию целевых атак, в которых злоумышленники использовали уязвимость нулевого дня в Zimbra Collaboration Suite (ZCS) — популярной почтовой платформе с открытым исходным...

Уязвимы все версии модуля до 3.4.9 включительно. Компания СайберОК сообщила об обнаружении XSS-уязвимости в модуле для Bitrix «Система бонусов. Программы лояльности», разработанном компанией АКРИТ. Уязвимость выявила исследовательница Марина Удодова. Ошибка позволяет внедрять произвольный...

Как простая запятая сломала миллиардную индустрию безопасности. Исследователи Ethiack в ходе автономного тестирования защиты нашли способ обойти даже самые строгие Web Application Firewall при помощи необычного приёма — внедрения JavaScript через загрязнение параметров HTTP. В качестве...

DamageLib набрала 33,5 тысячи регистраций — две трети базы XSS. Арест предполагаемого администратора русскоязычного форума XSS[.]is с ником Toha стал точкой бифуркации для всего подпольного рынка. По данным правоохранителей, 22 июля 2025 года в Украине задержан 38-летний мужчина в рамках...

Бывший соратник не стал долго ждать — пока администратора везли в наручниках, он уже строил замену. Бывший модератор дарквеб-форума XSS, известный под ником Rehub, запустил собственную площадку под названием Rehubcom. Этот шаг совпал с арестом администратора XSS в Киеве и закрытием домена...

Как векторная графика превратилась в марионетку киберпреступников. На десятках зарубежных порносайтов обнаружена новая схема распространения вредоносного кода, замаскированного под изображения в формате .svg. Как выяснили специалисты Malwarebytes, злоумышленники встраивают в такие файлы...

На главной странице форума forum.antichat.club появился deface-баннер, сообщающий о якобы захвате домена СБУ и киберполиции Украины. Однако никаких официальных заявлений от украинских или международных правоохранительных органов опубликовано не было. Всё указывает на то, что это — инсценировка...

Система мониторинга транспорта оказалась уязвимой. Исследователь CyberOK выявил множественные уязвимости в AutoGRAPH Web — программной платформе для мониторинга транспорта, персонала и объектов инфраструктуры. Более 650 экземпляров этой системы работают в российском сегменте интернета, причём...

Июньский дайджест трендовых уязвимостей. Специалисты Positive Technologies обновили список трендовых уязвимостей, добавив семь новых проблем в популярных ИТ-продуктах — от компонентов Windows до Apache, 7-Zip и почтовых серверов MDaemon и Zimbra. Большинство уязвимостей позволяют...

Magento выглядела вполне нормально, пока в ней не нашли способ запускать произвольный код. Adobe выпустила масштабное обновление безопасности , закрывающее сразу 254 уязвимости в своих продуктах. Подавляющее большинство — 225 уязвимостей — были обнаружены в Adobe Experience Manager (AEM)...

Опасные связи JavaScript и .NET — как одна строка кода открывает доступ хакерам. Разработчики .NET-приложений, использующие фреймворк CefSharp для внедрения браузера Chromium в настольные программы, оказались под угрозой серьёзных уязвимостей. Новый инструмент под названием CefEnum...

Когда просто «прочитать» письмо значит отдать пароли, контакты и государственные тайны. Хакерская группировка APT28 с 2023 года проводит масштабную кибершпионскую операцию RoundPress, нацеленную на похищение электронной переписки правительственных организаций и объектов критической...

23 уязвимости — и один шанс их не проверять на себе: апдейт до 7.0 уже вышел. Команда Positive Technologies выявила 23 уязвимости ( BDU:2024-06382 — BDU:2024-06404 ) в отечественной системе управления сайтами NetCat CMS, которая используется более чем на 15 тысячах порталах и входит в...

Сотни доверенных сайтов стали невольными участниками масштабной рекламной кампании. Уязвимость межсайтового скриптинга (XSS) в популярном фреймворке для виртуальных 360°-туров была использована злоумышленниками для массового внедрения вредоносных скриптов на сотни сайтов. Цель атаки —...

Всего одна брешь в системе — и тысячи сетей становятся лёгкой добычей. Более 12 тысяч межсетевых экранов GFI KerioControl до сих пор остаются уязвимыми перед критической уязвимостью CVE-2024-52875 , позволяющей удалённое выполнение кода ( RCE ). Несмотря на то, что патч был выпущен ещё в...

Простые ошибки, ведущие к катастрофическим последствиям. В устройствах Advantech EKI, предназначенных для промышленной беспроводной связи, выявлено около двух десятков уязвимостей, шесть из которых признаны критическими. Эти уязвимости позволяют злоумышленникам обойти аутентификацию и...

Предложение ведомств призвано улучшить безопасность новых версий программ. CISA и ФБР призвали технологические компании пересмотреть свое программное обеспечение, чтобы предотвратить наличие XSS -уязвимостей в будущих релизах. Уязвимости межсайтового скриптинга остаются проблемой для...

Исследователи обнаружили более 20 слабых мест в платформах машинного обучения. Исследователи в области кибербезопасности предупреждают о значительных рисках, связанных с уязвимостями в цепочке поставок программного обеспечения для машинного обучения (ML). Так, в целом ряде MLOps-платформ...

Hotjar и Business Insider – не единственные жертвы багов в системе аутентификации. Специалисты компании Salt Security , занимающейся безопасностью API, выявили критические недостатки в системе защиты двух широко используемых веб-сервисов — Hotjar и Business Insider. Эксперты предупреждают...

Действия Microsoft вынудили хакеров использовать системные файлы для атак на Windows. Специалисты DBAPPSecurity обнаружили, что северокорейская группировка Kimsuky использует в своих атаках MSC -файлы, чтобы избежать обнаружения и выполнить вредоносный код в целевой системе. MSC-файлы...

Отключение макросов в Office привело к очередной лазейке для незаметного взлома. Elastic Security Labs выявила новый метод взлома Windows под названием GrimResource, который включает использование специально созданных файлов MSC (Microsoft Saved Console) в сочетании с неисправленной...

Кибербандиты массово внедряют бэкдоры в файлы плагинов и тем оформления. Исследователи в области кибербезопасности предупредили о том, что несколько серьёзных уязвимостей в плагинах WordPress активно используются злоумышленниками для создания поддельных учётных записей администраторов...

Критическая XSS-уязвимость настежь распахивает двери перед злоумышленниками. GitLab выпустил обновления для актуальной линейки своих продуктов, устраняющие опасную уязвимость, которая позволяет неаутентифицированным злоумышленникам захватывать учётные записи пользователей через XSS -атаки...

CISA и ФБР призывают к срочным мерам по защите кода. CISA и ФБР призвали разработчиков ПО призывом активнее выявлять и устранять уязвимости обхода пути ( path traversal ) до выпуска продуктов на рынок. Такие недостатки позволяют злоумышленнику создавать или перезаписывать критически...

Как халатность властей КНР ставит под удар безопасность граждан. Группа китайских исследователей проанализировала конфигурации почти 14 000 государственных сайтов Китая и обнаружила недостатки безопасности, которые могут привести к кибератакам. В ходе работы под названием SilkSecured...