Угрозы, уязвимости и анализ эксплойтов.

Исследователи Kaspersky сообщили о новой вредоносной программе CrystalX RAT. Это троян удаленного доступа, который распространяют по модели «вредонос как услуга»: клиентам предлагают подписку, веб-панель и набор функций для шпионажа, кражи данных, перехвата ввода и удаленного управления устройством. От похожих угроз …

Четвёртый Chrome zero-day за 2026 год затрагивает Dawn WebGPU. CVE-2026-5281 (CVSS 8.8) применяется как второй этап атаки для выхода из песочницы. Один исследователь нашёл четыре ошибки в графическом стеке Chrome за два месяца. CISA требует обновления до 15 апреля.

Исследователи BeyondTrust Phantom Labs обнаружили в OpenAI Codex уязвимость, которая позволяла через специально подготовленное имя ветки GitHub выполнять команды в контейнере агента и извлекать OAuth-токены. OpenAI уже исправила проблему, но история показала новые риски агентной разработки.

В базе Zero Day Initiative появилась запись ZDI-CAN-30207 для Telegram. Но в истории уже возникли расхождения: текущая карточка ZDI показывает CVSS 7,0, а Telegram вообще отрицает наличие критической уязвимости. Разбираем, что подтверждено, а что пока нет.

Максимальная оценка CVSS 10.0 для NocoBase: побег из песочницы Node.js vm до root в три строки кода. Японская CMS В baserCMS обнаружены пять ошибок за день, три с инъекцией команд. WordPress Everest Forms Pro уязвим к RCE (CVSS 9.8). Всего …

Обнаружен новый вредоносный модуль Roadk1ll (имплант), использующий WebSocket для скрытого доступа и перемещения внутри корпоративных сетей. Разбираем, как он работает и почему это опасно.

Срочно обновить NetScaler: CISA дала дедлайн из-за уже эксплуатируемой уязвимости Citrix

У популярного плагина Smart Slider 3 для WordPress обнаружили баг arbitrary file read. Простыми словами объясняем суть проблемы, риски и необходимые действия.

Elastic Security Labs обнаружила атаку на финансовую организацию в Южной Азии с использованием двух вредоносных компонентов — BRUSHWORM и BRUSHLOGGER. Разбираем, как работала схема.

На macOS появился новый инфостилер Infinity Stealer. Он распространяется через схему ClickFix: жертве показывают фальшивую страницу “проверки” или “исправления ошибки”, после чего просят открыть Terminal и вставить туда команду. Если пользователь это делает, на устройство попадает вредонос, который собирает пароли, …

ZIP-вложения снова стали удобным контейнером для атак.

Максимальная оценка CVSS 10.0 для прокси авторизации ORY Oathkeeper. Три ошибки в одном обновлении позволяли обойти контроль доступа к API. Squid получил 9.2 за use-after-free. Perl-модуль Plack 12 лет жил с RCE на CVSS 9.8. Всего за день опубликовано 192 …

Dell выпустила обновление Wyse Management Suite 5.5 и закрыла четыре уязвимости в более ранних версиях. Среди них — Missing Authorization, unrestricted file upload, XSS и обход механизмов защиты.

21 уязвимость на всех платформах Apple за один день, включая обход защиты украденного iPhone. Cisco исправила IOS XE полугодовым пакетом, три ошибки без авторизации. Два npm-пакета (node-tesseract-ocr, pdf-image) получили оценку CVSS 9.8: имя файла с метасимволами запускает команду ОС.

PTC предупредила о критической RCE-уязвимости в Windchill и FlexPLM