Последние новости: CVE

Microsoft выпустила рекомендации по защите от YellowKey — уязвимости нулевого дня в BitLocker, которая позволяет получить доступ к зашифрованному системному диску Windows при физическом доступе к устройству. Проблема получила идентификатор CVE-2026-45585. Полного патча пока нет: компания предлагает вручную изменить образ …

В популярном WordPress-плагине Avada Builder исправили две уязвимости, которые могли затронуть около 1 млн сайтов. Первая — CVE-2026-4782, чтение произвольных файлов на сервере через параметр custom_svg; вторая — CVE-2026-4798, SQL-инъекция через параметр product_order. Полностью безопасной версией на момент раскрытия стала …

Cisco выпустила исправления для критической уязвимости CVE-2026-20182 в Cisco Catalyst SD-WAN Controller и Catalyst SD-WAN Manager. Ошибка получила максимальную оценку CVSS 10.0 и уже использовалась в реальных атаках. Уязвимость позволяет удалённому атакующему без логина и пароля обойти аутентификацию, получить административные …

CVE-2026-9082 уже проверяют вживую: Drupal предупредил об атаках на сайты с PostgreSQL

Для критической уязвимости CVE-2026-42945 в NGINX появились технические детали и proof-of-concept-код. Проблема получила CVSS 9.2 и затрагивает ngx_http_rewrite_module — модуль, который используется для переписывания URL, редиректов и обработки правил rewrite, if и set. NGINX уже выпустил исправления в версиях 1.30.1 …

Exchange Server снова под прицелом: Microsoft раскрыла zero-day в OWA, которую уже используют в атаках

В популярном плагине User Registration & Membership для WordPress обнаружили критическую уязвимость CVE-2026-1492. Она позволяет незарегистрированному атакующему создать учётную запись администратора через механизм регистрации участников. Проблема затрагивает версии до 5.1.2 включительно, исправление вышло в 5.1.3, об этом сообщили в CYFIRMA. …

Для CVE-2026-2005 опубликован proof-of-concept — рабочая демонстрация эксплуатации уязвимости в расширении pgcrypto для PostgreSQL. Ошибка жила в коде с 2005 года и связана с переполнением буфера в куче при разборе PGP-сообщений. Уязвимые версии уже исправлены в феврале, но теперь риск …

В Linux раскрыли новую опасную уязвимость повышения привилегий — Dirty Frag. Она позволяет локальному непривилегированному пользователю получить root-доступ через ошибки в сетевых и memory-fragment механизмах ядра. Под ударом — Ubuntu, RHEL, CentOS Stream, AlmaLinux, Fedora, openSUSE и OpenShift-среды. Особенно неприятный …

Разработчикам PHP-проектов рекомендуют срочно обновить Composer до версий 2.9.8, 2.2.28 LTS или 1.10.28. Исправление закрывает уязвимость CVE-2026-45793, из-за которой Composer мог вывести полный GitHub Actions GITHUB_TOKEN или GitHub App installation token в stderr, а затем — в логи CI. Проблема …

Palo Alto Networks предупредила о критической zero-day-уязвимости CVE-2026-0300 в PAN-OS, которую уже использовали в атаках на файрволы PA-Series и VM-Series. Ошибка в User-ID Authentication Portal позволяла выполнить код с root-правами без логина и действий пользователя, если портал был открыт из …

Исследователи разобрали кампанию SilentCanvas: вредоносный файл sysupdate.jpeg маскировался под изображение, но содержал PowerShell-код. После запуска он создавал каталог C:\Systems, загружал дополнительные компоненты, обходил AMSI, компилировал загрузчик через csc.exe, использовал ComputerDefaults.exe для обхода UAC и ставил модифицированный ConnectWise ScreenConnect. Такая сборка …

Microsoft раскрыла и уже устранила три критические уязвимости раскрытия информации в Microsoft 365 Copilot и Copilot Chat внутри Edge. Все три CVE опубликованы 7 мая 2026 года, относятся к облачным сервисам и не требуют действий от пользователей или администраторов: исправления …

Google выпустила Chrome 148 для Windows, macOS и Linux и закрыла 127 уязвимостей безопасности. В набор вошли три критические ошибки, десятки уязвимостей высокой степени опасности и большое число проблем с памятью в ключевых компонентах браузера: Blink, V8, ANGLE, WebRTC, GPU, …

В Android обнаружена уязвимость класса zero-click: злоумышленнику не нужны ни клики, ни установка приложений — при определённых условиях он может получить доступ к устройству без участия пользователя.