Тысячи F5 BIG-IP APM остаются под риском взлома: уязвимость уже эксплуатирую
Читать далее →
Срочно обновить NetScaler: CISA дала дедлайн из-за уже эксплуатируемой уязвимости Citrix
Читать далее →
Максимальная оценка CVSS 10.0 для прокси авторизации ORY Oathkeeper. Три ошибки в одном обновлении позволяли обойти контроль доступа к API. Squid получил 9.2 за use-after-free. Perl-модуль Plack 12 лет жил с RCE на CVSS 9.8. Всего за день опубликовано 192 …
Читать далее →
TP-Link призвала срочно обновить роутеры Archer NX: критическая уязвимость позволяет обойти авторизацию
Читать далее →
Dell выпустила обновление Wyse Management Suite 5.5 и закрыла четыре уязвимости в более ранних версиях. Среди них — Missing Authorization, unrestricted file upload, XSS и обход механизмов защиты.
Читать далее →
21 уязвимость на всех платформах Apple за один день, включая обход защиты украденного iPhone. Cisco исправила IOS XE полугодовым пакетом, три ошибки без авторизации. Два npm-пакета (node-tesseract-ocr, pdf-image) получили оценку CVSS 9.8: имя файла с метасимволами запускает команду ОС.
Читать далее →
PTC предупредила о критической RCE-уязвимости в Windchill и FlexPLM
Читать далее →
42 ошибки Firefox 149 в одном предупреждении. Шесть позволяют выйти из песочницы, одной вредоносной страницы достаточно. Пять ошибок впервые нашёл ИИ-ассистент Claude от Anthropic. Chrome в тот же день закрыл 8 опасных ошибок. Langflow получила третью RCE за неделю.
Читать далее →
Пятое обновление безопасности Chrome за март. Восемь опасных ошибок в WebAudio, WebGL, Dawn, Fonts и FedCM. Один исследователь нашёл обе ошибки в WebAudio и получил $7 000 за первую. Ни одна из восьми пока не эксплуатируется, но use-after-free и переполнения …
Читать далее →
13 ошибок за двое суток в одной платформе. AVideo хранит пароли в MD5 и отдаёт секретные ключи без входа. Криптобиблиотека jsrsasign позволяет восстановить закрытый ключ DSA из нескольких подписей. Обновления недостаточно, нужно перевыпустить ключи и отозвать сертификаты.
Читать далее →
198 CVE за выходные. Протокол BACnet передаёт данные автоматизации зданий без шифрования (CVSS 9.1). WordPress получил семь ошибок повышения привилегий за четыре дня, SQL-инъекцию через cookie, обходящую WAF, и захват администратора через проверку подстроки strpos().
Читать далее →
Arctic Wolf сообщила о признаках эксплуатации CVE-2025-32975 в Quest KACE SMA. Уязвимость с CVSS 10.0 позволяет обойти аутентификацию и потенциально получить полный контроль над устройством.
Читать далее →
Ubiquiti выпустила срочные обновления для UniFi Network Application из-за критической уязвимости CVE-2026-22557 с оценкой 10 из 10. Ошибка может позволить захват учетной записи без привилегий на уязвимых инстансах.
Читать далее →
Экстренный патч вне квартального цикла — Oracle считает угрозу слишком острой. CVE-2026-21992 почти дословно повторяет ошибку, которую эксплуатировали в ноябре 2025. Spring Boot закрыла два обхода аутентификации. В FastGPT нашли способ протащить вредоносный Docker-образ.
Читать далее →
Три ошибки WordPress с оценками 9.3–9.8 и без патча. Одинаковая SSRF появилась сразу в трёх менеджерах проектов за месяц. ИИ-агент OpenClaw набрал 15 записей о безопасности за март. В автопилоте дронов PX4 переполнение буфера по MAVLink без аутентификации.
Читать далее →