Через сайт об ILSpy начали раздавать вредоносное расширение для браузера
Читать далее →
Максимальная оценка CVSS 10.0 для NocoBase: побег из песочницы Node.js vm до root в три строки кода. Японская CMS В baserCMS обнаружены пять ошибок за день, три с инъекцией команд. WordPress Everest Forms Pro уязвим к RCE (CVSS 9.8). Всего …
Читать далее →
У популярного плагина Smart Slider 3 для WordPress обнаружили баг arbitrary file read. Простыми словами объясняем суть проблемы, риски и необходимые действия.
Читать далее →
Максимальная оценка CVSS 10.0 для прокси авторизации ORY Oathkeeper. Три ошибки в одном обновлении позволяли обойти контроль доступа к API. Squid получил 9.2 за use-after-free. Perl-модуль Plack 12 лет жил с RCE на CVSS 9.8. Всего за день опубликовано 192 …
Читать далее →
198 CVE за выходные. Протокол BACnet передаёт данные автоматизации зданий без шифрования (CVSS 9.1). WordPress получил семь ошибок повышения привилегий за четыре дня, SQL-инъекцию через cookie, обходящую WAF, и захват администратора через проверку подстроки strpos().
Читать далее →
Три ошибки WordPress с оценками 9.3–9.8 и без патча. Одинаковая SSRF появилась сразу в трёх менеджерах проектов за месяц. ИИ-агент OpenClaw набрал 15 записей о безопасности за март. В автопилоте дронов PX4 переполнение буфера по MAVLink без аутентификации.
Читать далее →
Исследователь обнаружил вредоносную кампанию на шести взломанных сайтах, включая образовательную платформу Hypothesis. Поддельное окно проверки Cloudflare заставляет пользователей macOS вставить в терминал команду, которая устанавливает программу-похитителя AMOS, она крадёт пароли, данные браузеров и криптокошельки.
Читать далее →
Владельцы образовательных платформ под ударом. В популярном WordPress-плагине Academy LMS обнаружена уязвимость с рейтингом 9.8 из 10.
Читать далее →
Письма про продление домена ведут на поддельный чекаут и вытягивают карту и коды из СМС. Данные улетают в Telegram бот, а фейковый 3D Secure заставляет вводить OTP снова и снова.
Читать далее →