Для подписчиковВ экосистеме WordPress постоянно находят новые уязвимости: от совсем простых до довольно сложных. У многих из них есть CVE, и многие исследователи тоже хотели бы когда‑нибудь увидеть свое имя в NVD. В этой статье я покажу, как поднять...
Опубликовано: 18:07, декабря 18, 2025в рубрике: «Наука и Техника»;
Сообщает источник: xakep.ru;
Поделиться:
Для подписчиковВ этом райтапе я покажу, как эксплуатировать уязвимость SSTI в шаблонизаторе Django, на примере получения учетки пользователя. Затем, авторизовавшись в системе, мы получим контекст другого пользователя через подмену файлов Django Cach ...
Для подписчиковСегодня я продемонстрирую эксплуатацию уязвимости в популярной библиотеке TensorFlow. Это позволит нам исполнять команды на сервере, чем мы и воспользуемся, чтобы получить учетные данные, а затем повысить привилегии через оболочку Bac ...
Для подписчиковМы изучили безопасность типичного «мозга» китайского автомобиля — SoC со встроенным сотовым модемом. Низкоуровневая ошибка переполнения стека позволила удаленно выполнить код на ранней стадии соединения — до срабатывания защит. Следом ...
Для подписчиковВ этот раз проэксплуатируем RCE в XWiki. Получив учетные данные системного пользователя, используем уязвимость типа RCE в Netdata и повысим привилегии до root. ...
Компания Wordfence предупреждает о масштабной вредоносной кампании, в рамках которой злоумышленники эксплуатируют критические уязвимости в популярных WordPress-плагинах GutenKit и Hunk Companion. Компания заблокировала 8,7 млн попыток таких атак на ...
В плагине Anti-Malware Security and Brute-Force Firewall для WordPress обнаружили уязвимость, которая позволяет пользователям с минимальными привилегиями читать произвольные файлы на сервере. Плагин установлен более чем на 100 000 сайтах, однако пок ...
В популярном плагине для WordPress под названием Modular DS обнаружили критическую уязвимость, которую уже используют злоумышленники. Баг позволяет повысить привилегии без какой-либо аутентификации и затрагивает все версии плагина до 2.5.1 включител ...
В популярном плагине для WordPress W3 Total Cache обнаружена критическая уязвимость CVE-2025-9501, позволяющая выполнять произвольные PHP-команды на сервере без аутентификации. Для атаки достаточно оставить на уязвимом ресурсе комментарий с полезной ...
Злоумышленники атакуют сайты под управлением WordPress, эксплуатируя критическую уязвимость в плагине Post SMTP, который начитывает более 400 000 установок. Хакеры захватывают аккаунты администраторов и получают полный контроль над уязвимыми ресурса ...
Нашей команде нужно мощное усиление. Мечтал работать в спорте, а не просто смотреть его по телеку? Тебе к нам! Что нужно для старта? ...
Если стеклоочистители начали размазывать грязь, а омыватель молчит, не спешите на сервис. Причину можно найти и устранить своими силами, сэкономив время и деньги. Когда система перестает подавать жидкость, причина обычно кроется в одном из трех осно ...
Агент Алексей Бабырь прокомментировал ситуацию вокруг защитника «Спартака» Ильи СамошниковаЧитать дальше → ...
В Алтайском крае работает около 12-12,5 тыс. мигрантов. Эта цифра не превышает 1% от общей численности рабочей силы в регионе. "Это говорит о том, что иностранная рабочая сила не оказывает существенного влияния на рынок труда Алтайского края. Наша з ...
Форвард «Спартака» Ливай Гарсия прокомментировал поражение своей команды от «Краснодара» (1:2)Читать дальше → ...
Гирлянды — это не просто набор лампочек, а продуманная цепь с последовательным или параллельным соединением элементов, стабилизаторами, контроллерами и другими узлами. Чтобы найти перегоревшую лампочку быстро и без сложностей, важно понимать, от чег ...
Главный тренер ЦСКА Игорь Никитин после победы над «Шанхайскими Драконами» (3:2) ответил на вопрос о нападающем Даниэле Спронге, который уже долгое время не участвует в матчах. ...
Кризис середины жизни становится реальностью для многих женщин. Узнайте, что с ним делать, как изменить жизнь и восстановить себя после 40. ...
В Евросоюзе продолжают обсуждать торговую сделку с США, которая уже негативно влияет на экономику предприятий ЕС. ...
Узнайте, почему стоит покупать носки комплектом. Секреты выбора идеального состава, посадки и ухода для комфорта и здоровья ваших ног. ...
Режиссёр Райан Джонсон прокомментировал смысловой подтекст детективной ленты «Достать ножи: Воскрешение покойника» (Wake Up Dead Man). ...
Многие выросли на романтических комедиях 00-х, где быта не существует, любовь вспыхивает с первого взгляда, а отношения начинаются с красивых жестов. Что было дальше — остаётся за кадром. Life.ru — о том, почему без идеалов из ромкомов строить любов ...
Генеральный директор ЦСКА Роман Бабаев в разговоре с «СЭ» ответил на вопрос о том, на какие позиции клуб планирует искать новичков в зимнее трансферное окно. ...
Российские пираты украли с стриминга Netflix третью серию детективной франшизы Райана Джонсона о приключениях частного сыщика Бенуа Бланка. ...
Инцидент произошёл 5 января. Технику привлекли для расчистки снега на льду озера, чтобы организовать дрифтинг. В процессе работ первый трактор провалился под лёд. Прибывшие для его спасения две другие машины также не смогли выбраться и ушли под воду ...
В Лос-Анджелесе прошла премьера фильма "Достать ножи: Проснись, мертвец". На красную дорожку вышли сыгравшие в ленте актёры: Мила Кунис, Джош О'Коннор, Кейли Спейни, Керри Вашингтон и Джош Бролин.42-летняя Мила Кунис, которую ещё недавно вместе с му ...
Издание Collider опубликовало новый кадр фильма «Достать ножи 3», на котором можно можно героев, в том числе персонажа Дэниела Крейга, который задумчиво изучает какое-то устройство. ...
В новой главе истории частный детектив Бенуа Бланк (Дэниэл Крэйг) возьмется за расследование очередного убийства. ...
Номер специалистов набрали школьники из Буя. Один из них случайно уронил телефон с моста через реку Векса. Мобильник оказался на льду. Дети поступили верно: не стали самостоятельно доставать гаджет, а вызвали спасателей. Те с помощью надувной ...
Пасмурная погода ожидает жителей Костромы на ближайших выходных, 22 и 23 ноября. Синоптики прогнозируют минусовые температуры, а также осадки. Так, суббота, 22 ноября, начнется для костромичей с +1 градуса. В это же время в городе пойдет дождь со ...
В первый день 2026 года в российских кинотеатрах возник ажиотаж вокруг премьеры фильма «Буратино». По данным киносетей, билеты на новогодние сеансы были раскуплены заранее, а в ряде городов показы на 1–2 января проходят с аншлагами. ...
На Украине набирает обороты коррупционный скандал, который начался 10 ноября после обысков, проведённых Национальным антикоррупционным бюро Украины (НАБУ) в офисах «Энергоатома» и у Миндича. Следователи заявили, что расследуют схемы отмывания средст ...
В 2025 году продуктовый набор для новогоднего стола, куда входят ингредиенты для салатов «Оливье», «Селедки под шубой» и одного горячего блюда, подорожал на 6% год к году, против 12% годом ранее. В этот раз стоимость праздничной корзины не росла так ...
Две российские столицы 22 и 23 ноября погрузятся в ненастье. Облака затянут небо, а температура воздуха в темное время суток опустится ниже нуля. В Москве и Петербурге специалисты обещают гололедицу и мокрый с ...
12 декабря на Netflix вышла третья часть детективной франшизы Райана Джонсона «Достать ножи: Воскрешение покойника» с Дэниэлом Крэйгом в роли эксцентричного сыщика Бенуа Бланка. Кинокритик Юлия Салихова без спойлеров рассказывает, чем удивляет и рад ...
Уполномоченный по правам ребенка в Московской области Ксения Мишонова жестко высказалась о ситуации со взрывом в Красногорске, в результате которого врачам пришлось частично ампутировать пальцы ребенку. ...
Nothing объявила о выходе версии смартфона Nothing Phone (3a) Community Edition, который будет изготовлен в количестве всего 1 тыс. единиц. Для того чтобы приобрести такой смартфон, необходимо успеть зарегистрироваться на сайте компании. Кроме того, ...
Физика исчезновения: как носки покидают барабан Мастера сервисных центров утверждают, что носки действительно могут исчезать внутри стиральной машины, причем в буквальном смысле. Во время интенсивного вращения барабана, особенно на высоких оборотах ...
Генеральный директор «Салавата Юлаева» Ринат Баширов рассказал, что клуб ищет центра и крайнего нападающего. «Салават Юлаев» набрал 31 очко в 34 матчах и занимает 8-е место в таблице Восточной конференции. – Стоит ли ждать усиления до дедлайна? – Де ...
Главный тренер «Металлурга» Андрей Разин высказался после матча против «Барыса» (4:1). – Четыре забили, но одну пропустили, чего опять не хватило, чтобы на ноль сыграть? – А смысл? – Я думаю, так бы порадовали Смолина. – Ну, мы захотели сами себе пр ...
Следователи, изучив обстоятельства трагедии, пришли к выводу, что 25-летний парень отравился угарным газом ...
Следователи, изучив обстоятельства трагедии, пришли к выводу, что 25-летний парень отравился угарным газом ...
Каждый гость подкаста уникален, к каждому мы стараемся подобрать свой ключик, каждый оставляет в сердцах авторов что-то от себя. Но сегодняшний выпуск особенный. Его герой - @lengaetablog. С Владом мы обсудили целый спектр тем, но магистральной стал ...
Главный тренер ЦСКА Игорь Никитин высказался о поражении от «Динамо» (0:1 Б) в домашнем матче Fonbet Чемпионата КХЛ. – Ваш комментарий по игре? – Надо забивать. – Вячеслав Козлов сказал, что с каждой игрой ЦСКА начинает играть в ваш хоккей. – В спор ...
Трейлер фильма «Достать ножи: Проснись, мертвец» (Wake Up Dead Man: A Knives Out Mystery) обнародовал 17 ноября 2025 года Netflix. «ИнтерМедиа» напоминает, что... ...
Специалисты MongoDB предупредили администраторов о критической уязвимости, которая позволяет удаленно выполнить произвольный код на незащищенных серверах. Баг можно эксплуатировать без авторизации, и атака не требует взаимодействия с пользователем. ...
Экономика Германии сейчас находится в уязвимом положении, и для ее укрепления необходимы дальнейшие реформы, заявила министр экономики и энергетики ФРГ Катерина Райхе. Об этом 29 ноября сообщила газета Welt am Sonntag.«Но да, мы видим новые риски — ...
Экономика Германии сейчас находится в уязвимом положении, и для ее укрепления необходимы дальнейшие реформы, заявила министр экономики и энергетики ФРГ Катерина Райхе. Об этом 29 ноября сообщила газета Welt am Sonntag. ...
Разработчики Google выпустили декабрьское обновление для операционной системы Android, в общей сложности устранив 107 уязвимостей. В их числе были две проблемы нулевого дня, которые уже активно эксплуатировались злоумышленниками в целевых атаках. ...
Специалисты департамента безопасности автотранспорта ГЛОНАСС в ходе предварительной проверки бортового оборудования выявили ряд уязвимостей в системах грузовых автомобилей и электробусов. ...
Министерство промышленности и торговли России в ноябре 2025 г. готовит пилотный эксперимент по созданию Центра обнаружения, предупреждения и ликвидации последствий компьютерных атак на транспорт. Его специалисты должны будут выявлять ИТ-уязвимости в ...
Специалист посоветовал установить антивирус. IT эксперт Алексей Кричевский, работающий в Академии управления финансами и инвестициями, рассказал об уязвимости OC Android перед вирусами. Специалист пояснил, что из-за широкой распространенности систе ...
Платформа для автоматизации рабочих процессов n8n столкнулась с серьезными проблемами: за последние недели исследователи обнаружили сразу четыре критические уязвимости, две из которых получили максимальную оценку 10 баллов по шкале CVSS. ...
В инструменте для запуска контейнеров runC, используемом в Docker и Kubernetes, обнаружены сразу три уязвимости. Эти ошибки позволяют злоумышленнику обойти изоляцию и получить доступ к хост-системе с привилегиями root. ...
Компания Cisco предупредила клиентов о неустраненной 0-day-уязвимости в Cisco AsyncOS, которая уже активно используется для атак на устройства Secure Email Gateway (SEG) и Secure Email and Web Manager (SEWM). ...
Компания Asus выпустила экстренное обновление прошивки для нескольких моделей роутеров серии DSL. Патч устраняет критическую уязвимость, которая позволяет злоумышленникам захватывать полный контроль над устройствами без аутентификации. ...
Четырёхкратный чемпион мира Себастьян Феттель отметил смелость действующего чемпиона Формулы-1 Ландо Норриса, который открыто говорит о своём психологическом состоянии, ломая устоявшиеся стереотипы в спорте. ...
Опубликован корректирующий выпуск почтового сервера Exim 4.99.1, в котором устранена уязвимость (CVE-2025-67896), позволяющая удалённому атакующему повредить содержимое памяти вне выделенного буфера. Потенциально проблема может использоваться для уд ...
Банки России давно сталкиваются с атаками хакеров, потому вкладывают большие деньги в IT-безопасность, рассказал НСН Герман Клименко. ...
Электробусы и грузовики, перевозящие опасные грузы, могут оказаться уязвимы для хакерских атак: злоумышленники способны спровоцировать возгорание батареи или вмешаться в работу систем торможения и рулевого управления. Это стало известно по результат ...
Система безопасности Лувра демонстрировала критические уязвимости задолго до масштабного ограбления. Согласно расследованию Le Monde, проверки 2017-2018 годов указывали на конкретные слабые места музея. Эксперты Национального института высших исслед ...
Вопрос безопасности внутренних IT-систем всегда убирается в деньги, которых чаще всего у компаний нет, заявил НСН Олег Кравчук. ...
Бывший боксёр, подавшийся в священники после боя, в котором убил человека, Джад Дюплентиси (Джош О’Коннор) попадает "по распределению" в небольшой приход маленького городка. Здесь ему уготована роль помощника неприятного отца Уикса (Джош Броли ...
Количество "дыр" в защите, которые исправили в течение 30 дней после выявления, выросло на 15%, сообщили в ИБ-компании ...
На проходящей в Германии конференции 39C3 (Chaos Communication Congress) раскрыты детали о 12 ранее неизвестных и остающихся неисправленными (0-day) уязвимостях в инструментарии GnuPG (GNU Privacy Guard), предоставляющем совместимые со стандартами O ...
Эксперты Amazon Threat Intelligence обнаружили атаки с использованием двух критических 0-day — CVE-2025-5777 (Citrix Bleed 2) в NetScaler ADC/Gateway и CVE-2025-20337 в Cisco Identity Service Engine (ISE). Оказалось, что злоумышленники эксплуатирова ...
По итогам октября 2025 г. эксперты R-Vision проанализировали широкий спектр уязвимостей и выделили наиболее критичные... ...
Компания Asus выпустила новую прошивку, закрывающую девять уязвимостей безопасности, включая критическую уязвимость обхода аутентификации в своих маршрутизаторах с поддержкой AiCloud. Последняя представляет собой функцию удалённого доступа на основе ...
Коррупционный скандал на Украине и удары по энергетической инфраструктуре страны могут приблизить заключение мирной сделки лидером киевского режима Владимиром Зеленским. Об этом 15 декабря сообщила газета The Washington Post со ссылкой на высокопост ...
Команда безопасности Google Project Zero раскрыла подробности об уязвимости в Windows 11, которую, по их словам, Microsoft устранила не в полной мере. Проблема связана с ошибкой повышения прав доступа (EoP). Это было обнаружено в предварительных сбо ...
Специалисты некоммерческой организации, занимающейся поддержкой инфраструктуры интернета, Internet Systems Consortium, выпустили обновления для DNS-сервера BIND 9, устраняющие сразу три серьезные уязвимости. Две из них позволяют атакующим отравлять ...
Специалисты предупреждают о новой волне атак ботнета RondoDox: малварь начала активно эксплуатировать критическую RCE-уязвимость в XWiki Platform (CVE-2025-24893). Ошибка уже значится в списке активно используемых уязвимостей CISA, а количество попы ...
Специалисты компании «Газинформсервис» проанализировали критические уязвимости CVE-2025-55182 и CVE-2025-66478 в экосистеме... ...
Пользователи роутеров Keenetic обнаружили, что их устройства самостоятельно получили новую версию прошивки, даже если автоматическое обновление было отключено в настройках. Представители производителя подтвердили факт принудительного обновления и за ...
Компания Asus выпустила обновления прошивки для устранения девяти уязвимостей, включая критическую проблему обхода аутентификации в роутерах с включенной функцией AiCloud. ...
Исследователи компании SquareX, специализирующейся на безопасности браузеров, опубликовали отчет о критической уязвимости в ИИ-браузере Comet компании Perplexity. Проблема связана со скрытым MCP API, который позволяет выполнять команды на устройстве ...
В React Server Components обнаружена критическая уязвимость CVE-2025-55182 с максимальной оценкой CVSS 10. Она позволяет неаутентифицированному... ...
Критические уязвимости в IT-системах есть почти у половины компаний телекоммуникационной отрасли в России, выяснили специалисты CICADA8. Они также есть у трети организаций в госсекторе и ретейле и каждой четвертой компании в сфере здравоохранения, п ...
Аналитики компании R-Vision провели анализ и выделили уязвимости, которые представляют наибольшую опасность в декабре... ...
В рамках январского «вторника обновлений» компания Microsoft исправила две уязвимости в драйвере ntfs.sys, который управляет файловой системой NTFS в Windows. Эти проблемы нашел специалист Positive Technologies Сергей Тарасов. Обе уязвимости давали ...
Европейская металлургическая отрасль находится в упадке, отметил глава сингапурской транснациональной трейдерской компании Trafigura ...
В React обнаружили серьезную уязвимость CVE-2025-55182, получившую 10 баллов из 10 возможных по шкале CVSS. Она позволяет удаленно выполнить код на сервере без аутентификации. Проблема получила имя React2Shell и вызвала настоящую панику в индустрии, ...
Российская компания Fastwel, специализирующаяся на проектировании и производстве оборудования для АСУ ТП, встраиваемых... ...
В спецификации протокола PCIe IDE обнаружили сразу три уязвимости. Правда, эксплуатация этих проблем потребует физического доступа к оборудованию, поэтому угроза оценивается как низкая. ...
« Реал » сыграл вничью с «Эльче» (2:2) в 13-м туре Ла Лиги . Джуд Беллингем установил окончательный счет на 87-й минуте. В ходе голевой атаки вингер мадридцев Винисиус ногой попал по лицу голкипера « Эльче » Иньяки Пеньи , пытаясь дотянуться до ...
Команда исследователей из Microsoft Research совместно с учёными из Университета штата Аризона (Arizona State University) создала симулятор торговой площадки для тестирования поведения автономных ИИ-агентов. Первые эксперименты, как стало известно и ...
Завершился хакерский конкурс Pwn2Own Ireland 2025. На этот раз участники заработали 1,02 млн долларов США, продемонстрировав 73 эксплоита для уязвимостей нулевого дня в популярных устройствах и сервисах. Исследователи атаковали смартфоны, NAS, роуте ...
Опасные хакеры, агрессивно атакующие множество организаций по всему миру, начали активно использовать две критические уязвимости в Windows: CVE-2025-9491 (затрагивает файлы .lnk) и CVE-2025-59287 (нацелены на WSUS). Уязвимость CVE-2025-9491, новое и ...
Генеративный ИИ становится всё более мощным инструментом в биологии, позволяя создавать новые версии базовых молекул. Однако, как предупреждают учёные, лёгкость доступа к этим технологиям несёт в себе риски, требующие немедленной разработки мер биоб ...
Глава Белого дома Дональд Трамп неоднократно выражал своим помощникам обеспокоенность по поводу недостаточной защищенности Канады в Арктике от потенциальных противников Вашингтона. Об этом 18 января сообщил телеканал NBC со ссылкой на американских ч ...
Военный корреспондент Ибрагим Набер заявил, что Вооруженные силы ФРГ и страны НАТО не могут противостоять российским беспилотным летательным аппаратам (БПЛА). Об этом он написал в статье для Focus. ...
Специалисты компании Pen Test Partners нашли несколько уязвимостей в ИИ-чат-боте железнодорожного оператора Eurostar. Однако в компании отреагировали на результаты исследования неожиданно — обвинили специалистов в шантаже. ...
Узнайте, какие эмоциональные особенности мешают Ракам достигать успеха в карьере и личной жизни. Советы психолога, как преодолеть внутренние барьеры и раскрыть свой потенциал. ...
Футбольный агент Тимур Гурцкая высказался о переходе Жерсона из «Зенита» в «Крузейро». Сообщалось, что сумма сделки составила 27 миллионов евро. Еще 3 млн евро петербуржцы могут получить в качестве бонусов. – Реальные деньги – 10 миллионов. Все ос ...
Специалисты «Лаборатории Касперского» впервые обнаружили использование в реальных атаках шпионского ПО Dante, созданного итальянской компанией Memento Labs (ранее Hacking Team). Отследить активность малвари удалось благодаря анализу операции «Форумн ...
Профессиональные хакерские группировки станут чаще применять хактивизм для прекращения работы важнейших объектов... ...
Эксперты PT SWARM Артем Данилов, Роман Черемных и Даниил Сатяев обнаружили 22 уязвимости в модулях FreeScout. Это система... ...
В рамках январского обновления безопасности софтверный гигант Microsoft устранил две ранее неизвестные уязвимости... ...
«Контур» запустил публичную программу для поиска уязвимостей на площадке Standoff Bug Bounty. Более 30 тыс. исследователей... ...
Главный тренер московского «Динамо» Алексей Кудашов подтвердил, что защитник Кирилл Готовец выбыл до конца сезона из-за травмы. В субботу бело-голубые в выездном матче FONBET регулярного чемпионата КХЛ обыграли «Сибирь» со счетом 3:2. Готовец не при ...
ФСТЭК заявила об ужесточении подхода к регулированию отрасли информационной безопасности. Если федеральная служба найдет в продукте ИБ-вендора еще не заявленную уязвимость, сертификат компании будет отозван. ...
Авиакомпании по всему миру вернулись к предыдущей версии программного обеспечения своих самолетов Airbus A320, пишет Bloomberg. При этом, по словам собеседников агентства в авиаотрасли, обновления оборудования потребуют до 1 тыс. воздушных судов. ...
