Уязвимости, эксплойты и обновления безопасности

Если вы генерите PDF на Node.js и где-то подставляете путь из пользовательского ввода, проверьте jsPDF прямо сейчас. Уязвимость CVE-2025-68428 позволяет читать произвольные файлы и аккуратно упаковывать их в готовый документ, который сам же сервис потом отдаст наружу.

Google закрыла CVE-2026-0628 в Chrome 143.0.7499.192/.193. Это баг в WebView, компоненте, который живет не только в браузере, но и в тысячах приложений. Обход политик безопасности, риск инъекций и кражи сессий, пока часть мира еще не обновилась.

В Wget2 обнаружили CVE-2025-69194 (CVSS 8.8): один подложный Metalink может заставить утилиту записать файл не туда и перезаписать важные данные. Патч уже есть в версии 2.2.1.

Mustang Panda поднял скрытность на уровень ядра Windows. Руткит через драйвер ProjectConfiguration.sys обходит антивирусы, работает в памяти и внедряет TONESHELL в svchost.exe. Основные цели кампании это госструктуры Мьянмы и Таиланда, подготовка шла с сентября 2024, заражения активизировались в феврале 2025.

ЦБ утвердил обновленный список признаков мошеннических переводов, с 1 января 2026 банки обязаны будут ставить такие операции на паузу или отказывать.

MongoDB выявила уязвимость CVE-2025-14847, сервер может отдавать куски неинициализированной памяти неаутентифицированному клиенту, если включён zlib.

Google экстренно закрыла опасную 0-day-уязвимость в движке V8 для Chrome — и сделала это не просто так, а потому что баг уже активно эксплуатируется в реальных атаках. Речь идёт о CVE-2025-6554 — типичная, но крайне неприятная уязвимость типа type confusion.

Число коротких «зондирующих» DDoS-атак на российский бизнес выросло в 10 000 раз всего за год. В мае 2025 их зафиксировали более 450 тысяч, хотя год назад таких инцидентов было всего 44. Статистика StormWall подтверждает: разведка перед кибератакой стала повседневностью.