Последние новости: RCE

Azure Portal и спорный npm-пакет: исследователь говорит о RCE, MSRC — о неэксплуатируемом сценарии. Microsoft закрыла отчёт по dependency confusion, несмотря на callback из своей инфраструктуры

Для критической уязвимости CVE-2026-42945 в NGINX появились технические детали и proof-of-concept-код. Проблема получила CVSS 9.2 и затрагивает ngx_http_rewrite_module — модуль, который используется для переписывания URL, редиректов и обработки правил rewrite, if и set. NGINX уже выпустил исправления в версиях 1.30.1 …

В Android обнаружена уязвимость класса zero-click: злоумышленнику не нужны ни клики, ни установка приложений — при определённых условиях он может получить доступ к устройству без участия пользователя.

Python под угрозой: asyncio ломает память и открывает путь к RCE

Apache выпустила исправление для CVE-2026-34197 в ActiveMQ Classic. Уязвимость позволяет выполнить код через Jolokia API и в некоторых конфигурациях может эксплуатироваться без пароля.

Тысячи F5 BIG-IP APM остаются под риском взлома: уязвимость уже эксплуатирую

Максимальная оценка CVSS 10.0 для NocoBase: побег из песочницы Node.js vm до root в три строки кода. Японская CMS В baserCMS обнаружены пять ошибок за день, три с инъекцией команд. WordPress Everest Forms Pro уязвим к RCE (CVSS 9.8). Всего …

Три ошибки в фирменном протоколе Xiaomi позволяют получить root-доступ к камере C400 по Wi-Fi без QR-кода и физического доступа. TASZK Security Labs выложила полный эксплойт и инструмент отвязки от облака на GitHub. Xiaomi не дала публичного ответа.

420 новых CVE за сутки. Обход аутентификации в плагине Tutor LMS Pro для WordPress (CVSS 9.8) позволяет войти под любым пользователем. SQL-инъекция в системе автоматизации АЗС «Нефтепродукттехника» открывает базу данных заправки.

Check Point нашёл три уязвимости в ИИ-помощнике Claude Code от Anthropic. Через подменённый файл настроек в репозитории злоумышленник мог выполнять команды на компьютере разработчика и красть API-ключи — без единого клика жертвы. Все проблемы уже исправлены.

Как опечатка в одном символе кода Firefox привела к удалённому выполнению кода?

Уязвимость с рейтингом 9.8: Фундамент корпоративного ИИ дал трещину Библиотека Unstructured.io, которую используют 87% компаний из Fortune 1000 (включая Google и Amazon), оказалась критически уязвимой.

В n8n нашли способ обойти защиту песочницы. Уязвимость CVE-2026-25049 позволяет выполнять системные команды через обычные выражения в сценариях.

Исследователи Tenable обнаружили две критические уязвимости в платформе аналитики Looker (проект получил имя LookOut).

Критическая уязвимость в Cybersecurity AI (CVE-2026-25130). Даже инструменты, созданные для защиты ИИ, могут иметь детские болезни.