Уязвимость TrueConf: хакеры распространяли вредоносные обновления через сервер
Читать далее →
Максимальная оценка CVSS 10.0 для NocoBase: побег из песочницы Node.js vm до root в три строки кода. Японская CMS В baserCMS обнаружены пять ошибок за день, три с инъекцией команд. WordPress Everest Forms Pro уязвим к RCE (CVSS 9.8). Всего …
Читать далее →
У популярного плагина Smart Slider 3 для WordPress обнаружили баг arbitrary file read. Простыми словами объясняем суть проблемы, риски и необходимые действия.
Читать далее →
Максимальная оценка CVSS 10.0 для прокси авторизации ORY Oathkeeper. Три ошибки в одном обновлении позволяли обойти контроль доступа к API. Squid получил 9.2 за use-after-free. Perl-модуль Plack 12 лет жил с RCE на CVSS 9.8. Всего за день опубликовано 192 …
Читать далее →
21 уязвимость на всех платформах Apple за один день, включая обход защиты украденного iPhone. Cisco исправила IOS XE полугодовым пакетом, три ошибки без авторизации. Два npm-пакета (node-tesseract-ocr, pdf-image) получили оценку CVSS 9.8: имя файла с метасимволами запускает команду ОС.
Читать далее →
PTC предупредила о критической RCE-уязвимости в Windchill и FlexPLM
Читать далее →
В сети обнаружены сотни тысяч устаревших экземпляров Microsoft IIS, часть из которых уже полностью вне поддержки, включая ESU. Разбираем, что это значит для безопасности, какие версии IIS уже EOL и что делать администраторам.
Читать далее →
Arctic Wolf сообщила о признаках эксплуатации CVE-2025-32975 в Quest KACE SMA. Уязвимость с CVSS 10.0 позволяет обойти аутентификацию и потенциально получить полный контроль над устройством.
Читать далее →
Ubiquiti выпустила срочные обновления для UniFi Network Application из-за критической уязвимости CVE-2026-22557 с оценкой 10 из 10. Ошибка может позволить захват учетной записи без привилегий на уязвимых инстансах.
Читать далее →
Экстренный патч вне квартального цикла — Oracle считает угрозу слишком острой. CVE-2026-21992 почти дословно повторяет ошибку, которую эксплуатировали в ноябре 2025. Spring Boot закрыла два обхода аутентификации. В FastGPT нашли способ протащить вредоносный Docker-образ.
Читать далее →
Три ошибки WordPress с оценками 9.3–9.8 и без патча. Одинаковая SSRF появилась сразу в трёх менеджерах проектов за месяц. ИИ-агент OpenClaw набрал 15 записей о безопасности за март. В автопилоте дронов PX4 переполнение буфера по MAVLink без аутентификации.
Читать далее →
Рекордные $17,1 млн за год и $811 000 одному исследователю. Google опубликовала отчёт VRP за 2025 год с ростом на 40%. Запущена отдельная AI VRP, а живые bugSWAT-мероприятия принесли 20% всех выплат.
Читать далее →
За две недели Claude Opus 4.6 нашёл в Firefox больше критичных уязвимостей, чем живые исследователи за месяцы. 14 из 22 оценены как высокой опасности. Одна получила CVSS 9.8.
Читать далее →
Впервые уязвимость с оценкой CVSS 9.8 обнаружил автономный ИИ-агент XBOW. Мартовский Patch Tuesday закрыл 83 уязвимости, включая две 0-day в SQL Server и .NET. Ни одна из них пока не использовалась в атаках.
Читать далее →
117 новых CVE за 9 марта, ни одной критической. Из заметного: подмена DLL в UltraVNC с готовым эксплойтом и молчащим разработчиком, плюс две уязвимости в камерах Tiandy, которая игнорирует уведомления с 2017 года.
Читать далее →