Разборы уязвимостей, методы защиты данных, новости мира кибербезопасности и практические рекомендации по обеспечению безопасности систем. Подходит для разработчиков, системных инженеров и всех, кто хочет защитить свои данные.
В библиотеке vm2 для Node.js обнаружили 12 критических уязвимостей, позволяющих выйти из песочницы и выполнить код на хост-системе. Разработчики выпустили исправления в версиях до 3.11.2.
AI-инструменты помогли обнаружить критические уязвимости в PostgreSQL и MariaDB, включая ошибки, существовавшие более 20 лет. Все найденные проблемы уже исправлены, и пользователям рекомендуется срочно обновиться.
Атака на DAEMON Tools привела к распространению вредоносных установщиков через официальный сайт. Заражённые версии содержат бэкдор и используются как для массового сбора данных, так и для точечных атак.
В Apache HTTP Server обнаружена критическая уязвимость в реализации HTTP/2, позволяющая вызвать DoS и потенциально выполнить произвольный код. Ошибка связана с двойным освобождением памяти в mod_http2.
Уязвимость Copy Fail в Linux позволяет локально повысить привилегии до root. Исправления уже выпущены для Debian, Ubuntu и других дистрибутивов.
Критическая уязвимость в cPanel позволяет обходить аутентификацию и получать root-доступ к серверу. Проблема уже используется в атаках и требует срочного обновления систем.
DEEP#DOOR — скрытый Python-бэкдор, использующий туннелирование для управления и кражи данных. Он обеспечивает устойчивый доступ, обход защит и извлечение учётных данных из системы и облаков.
Уязвимость Copy Fail (CVE-2026-31431) позволяет локальному пользователю получить root-доступ на большинстве Linux-систем через ошибку в ядре. Эксплуатация возможна с помощью небольшого Python-скрипта.
Microsoft подтвердила эксплуатацию уязвимости Windows Shell CVE-2026-32202, связанной с неполным исправлением предыдущих багов. Уязвимость позволяет атакующим получать учетные данные через LNK-файлы.
Claude Mythos обнаружила 271 уязвимость в Firefox, все из которых были исправлены. Модель демонстрирует резкий рост эффективности поиска ошибок и поднимает вопросы о безопасности таких инструментов.
Уязвимость в Breeze Cache позволяет загружать произвольные файлы на сервер WordPress без авторизации. Атаки уже зафиксированы в реальных условиях.
Уязвимость CVE-2026-33626 в LMDeploy начала эксплуатироваться менее чем через 13 часов после публикации. SSRF-атака позволяет получать доступ к внутренним сервисам и облачным данным.
Критическая уязвимость в nginx-ui позволяет обходить аутентификацию и полностью захватывать сервер через открытый MCP-эндпоинт. Эксплуатация требует минимальных усилий и уже используется в атаках.
В Composer обнаружены две уязвимости, позволяющие внедрять и выполнять произвольные команды через конфигурации Perforce. Обновления уже выпущены, пользователям рекомендуется срочно перейти на исправленные версии.
В Marimo обнаружили критическую уязвимость удаленного выполнения кода до аутентификации, и ее начали эксплуатировать уже менее чем через 10 часов после публичного раскрытия. Злоумышленник смог украсть облачные ключи и другие учетные данные меньше чем за три минуты.