home.social

#vulnerability_research — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #vulnerability_research, aggregated by home.social.

  1. Recently, Firefox shared the latest post iteration on their use of Claude Mythos (preview).

    They showed that Mythos are not just a hype.

    I won't comment more on that. But, Mythos is still a hype. Claude opening their own bug bounty program shows that.

    While, on the other hand, we should have been welcoming the development of Mythos.

    It can catch high level bug faster, meaning we can fix things faster.

    There are other things we should've been started to discuss.

    1. How vulnerability management works?
    2. How do we triage?
    etc.

    What's your view on this?

    Source:
    hacks.mozilla.org/2026/05/behi

    #cybersecurity #infosec #ai #mythos #firefox #vulnerability #vulnerability_research

  2. Топ самых интересных CVE за апрель 2026 года

    Собрали самые интересные CVE апреля в нашу традиционную подборку. Критическими уязвимостями под RCE в прошлом месяце отметились Microsoft Azure и Bing, а также Mozilla Firefox и Thunderbird. Месяц не обошёлся и без критических уязвимостей в продуктах от Cisco: в IMC и SSM On-Prem исправили обход аутентификации и произвольные команды с root-правами, соответственно. Критические CVE также закрыли в OpenSSL, JavaScript-движке в процессорах Samsung Exynos и продуктах от SAP. Обо всём этом и других ключевых уязвимостях апреля читайте под катом!

    habr.com/ru/articles/1031750/

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  3. Топ самых интересных CVE за апрель 2026 года

    Собрали самые интересные CVE апреля в нашу традиционную подборку. Критическими уязвимостями под RCE в прошлом месяце отметились Microsoft Azure и Bing, а также Mozilla Firefox и Thunderbird. Месяц не обошёлся и без критических уязвимостей в продуктах от Cisco: в IMC и SSM On-Prem исправили обход аутентификации и произвольные команды с root-правами, соответственно. Критические CVE также закрыли в OpenSSL, JavaScript-движке в процессорах Samsung Exynos и продуктах от SAP. Обо всём этом и других ключевых уязвимостях апреля читайте под катом!

    habr.com/ru/articles/1031750/

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  4. Топ самых интересных CVE за апрель 2026 года

    Собрали самые интересные CVE апреля в нашу традиционную подборку. Критическими уязвимостями под RCE в прошлом месяце отметились Microsoft Azure и Bing, а также Mozilla Firefox и Thunderbird. Месяц не обошёлся и без критических уязвимостей в продуктах от Cisco: в IMC и SSM On-Prem исправили обход аутентификации и произвольные команды с root-правами, соответственно. Критические CVE также закрыли в OpenSSL, JavaScript-движке в процессорах Samsung Exynos и продуктах от SAP. Обо всём этом и других ключевых уязвимостях апреля читайте под катом!

    habr.com/ru/articles/1031750/

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  5. Топ самых интересных CVE за апрель 2026 года

    Собрали самые интересные CVE апреля в нашу традиционную подборку. Критическими уязвимостями под RCE в прошлом месяце отметились Microsoft Azure и Bing, а также Mozilla Firefox и Thunderbird. Месяц не обошёлся и без критических уязвимостей в продуктах от Cisco: в IMC и SSM On-Prem исправили обход аутентификации и произвольные команды с root-правами, соответственно. Критические CVE также закрыли в OpenSSL, JavaScript-движке в процессорах Samsung Exynos и продуктах от SAP. Обо всём этом и других ключевых уязвимостях апреля читайте под катом!

    habr.com/ru/articles/1031750/

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  6. blog.mozilla.org/en/privacy-se

    New blogpost by @firefox on their initial access on using Mythos at scanning vulns in Firefox environment.

    Mythos helped Firefox team finding many vulns (yes I don't include the number, bcz we all know it's just a buzz letters at this point).

    Interistingly, despite that many vulns "squashed" some still lurking around.

    Very fun time in security research nonetheless :3.

    #cybersecurity #infosec #security #firefox #vulnerability #vulnerability_research #Mythos #AI

  7. Топ самых интересных CVE за март 2026 года

    Всем привет! Подводим итоги марта по части самых интересных CVE. Дайджест был бы неполным без десяточки от Cisco: небезопасная десериализация под RCE в Cisco FMC, активно эксплуатируемая с конца января. Отдельно также отметилась компрометация цепочки поставок сканера уязвимостей Aqua Trivy с далеко идущими последствиями, включая кражу исходников у той же Cisco. В ИИ-платформе Langflow критическая уязвимость под внедрение кода без аутентификации, в Chrome два нулевых дня в Skia и V8, а в Microsoft Excel эксплойт Copilot под утечку данных без участия пользователя. Об этом и других ключевых уязвимостях марта читайте под катом!

    habr.com/ru/articles/1019978/

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  8. Топ самых интересных CVE за март 2026 года

    Всем привет! Подводим итоги марта по части самых интересных CVE. Дайджест был бы неполным без десяточки от Cisco: небезопасная десериализация под RCE в Cisco FMC, активно эксплуатируемая с конца января. Отдельно также отметилась компрометация цепочки поставок сканера уязвимостей Aqua Trivy с далеко идущими последствиями, включая кражу исходников у той же Cisco. В ИИ-платформе Langflow критическая уязвимость под внедрение кода без аутентификации, в Chrome два нулевых дня в Skia и V8, а в Microsoft Excel эксплойт Copilot под утечку данных без участия пользователя. Об этом и других ключевых уязвимостях марта читайте под катом!

    habr.com/ru/articles/1019978/

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  9. Топ самых интересных CVE за март 2026 года

    Всем привет! Подводим итоги марта по части самых интересных CVE. Дайджест был бы неполным без десяточки от Cisco: небезопасная десериализация под RCE в Cisco FMC, активно эксплуатируемая с конца января. Отдельно также отметилась компрометация цепочки поставок сканера уязвимостей Aqua Trivy с далеко идущими последствиями, включая кражу исходников у той же Cisco. В ИИ-платформе Langflow критическая уязвимость под внедрение кода без аутентификации, в Chrome два нулевых дня в Skia и V8, а в Microsoft Excel эксплойт Copilot под утечку данных без участия пользователя. Об этом и других ключевых уязвимостях марта читайте под катом!

    habr.com/ru/articles/1019978/

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  10. Топ самых интересных CVE за март 2026 года

    Всем привет! Подводим итоги марта по части самых интересных CVE. Дайджест был бы неполным без десяточки от Cisco: небезопасная десериализация под RCE в Cisco FMC, активно эксплуатируемая с конца января. Отдельно также отметилась компрометация цепочки поставок сканера уязвимостей Aqua Trivy с далеко идущими последствиями, включая кражу исходников у той же Cisco. В ИИ-платформе Langflow критическая уязвимость под внедрение кода без аутентификации, в Chrome два нулевых дня в Skia и V8, а в Microsoft Excel эксплойт Copilot под утечку данных без участия пользователя. Об этом и других ключевых уязвимостях марта читайте под катом!

    habr.com/ru/articles/1019978/

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  11. Топ самых интересных CVE за февраль 2026 года

    Всем привет! Разбираем ключевые CVE ушедшего месяца в нашей традиционной подборке. Февраль отметился RCE в продуктах BeyondTrust — 9.9 по CVSS с активно идущей эксплуатацией. Фичевый блоут привёл к RCE в блокноте Windows: вектором атаки через произвольные команды стала добавленная поддержка Markdown, и это вызвало шквал критики в адрес Microsoft. Помимо этого, в Google Chrome исправили первый 0-day 2026-го c идущим эксплойтом, а символические ссылки на этот раз подвели Apple: во множестве её продуктов состояние гонки при их обработке. В Content API Ghost закрыли внедрение SQL, в Gogs — обход двухфакторки, а в продуктах от Microsoft — полдюжины эксплуатируемых нулевых дней. Об этом и других интересных уязвимостях февраля читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  12. Топ самых интересных CVE за февраль 2026 года

    Всем привет! Разбираем ключевые CVE ушедшего месяца в нашей традиционной подборке. Февраль отметился RCE в продуктах BeyondTrust — 9.9 по CVSS с активно идущей эксплуатацией. Фичевый блоут привёл к RCE в блокноте Windows: вектором атаки через произвольные команды стала добавленная поддержка Markdown, и это вызвало шквал критики в адрес Microsoft. Помимо этого, в Google Chrome исправили первый 0-day 2026-го c идущим эксплойтом, а символические ссылки на этот раз подвели Apple: во множестве её продуктов состояние гонки при их обработке. В Content API Ghost закрыли внедрение SQL, в Gogs — обход двухфакторки, а в продуктах от Microsoft — полдюжины эксплуатируемых нулевых дней. Об этом и других интересных уязвимостях февраля читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  13. Топ самых интересных CVE за февраль 2026 года

    Всем привет! Разбираем ключевые CVE ушедшего месяца в нашей традиционной подборке. Февраль отметился RCE в продуктах BeyondTrust — 9.9 по CVSS с активно идущей эксплуатацией. Фичевый блоут привёл к RCE в блокноте Windows: вектором атаки через произвольные команды стала добавленная поддержка Markdown, и это вызвало шквал критики в адрес Microsoft. Помимо этого, в Google Chrome исправили первый 0-day 2026-го c идущим эксплойтом, а символические ссылки на этот раз подвели Apple: во множестве её продуктов состояние гонки при их обработке. В Content API Ghost закрыли внедрение SQL, в Gogs — обход двухфакторки, а в продуктах от Microsoft — полдюжины эксплуатируемых нулевых дней. Об этом и других интересных уязвимостях февраля читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  14. Топ самых интересных CVE за февраль 2026 года

    Всем привет! Разбираем ключевые CVE ушедшего месяца в нашей традиционной подборке. Февраль отметился RCE в продуктах BeyondTrust — 9.9 по CVSS с активно идущей эксплуатацией. Фичевый блоут привёл к RCE в блокноте Windows: вектором атаки через произвольные команды стала добавленная поддержка Markdown, и это вызвало шквал критики в адрес Microsoft. Помимо этого, в Google Chrome исправили первый 0-day 2026-го c идущим эксплойтом, а символические ссылки на этот раз подвели Apple: во множестве её продуктов состояние гонки при их обработке. В Content API Ghost закрыли внедрение SQL, в Gogs — обход двухфакторки, а в продуктах от Microsoft — полдюжины эксплуатируемых нулевых дней. Об этом и других интересных уязвимостях февраля читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  15. Ok, so I have this HP-server in my garage that I've had for years.
    I decided to plug it in, add drives and connect the iLO port.

    Ofcourse, I have forgotten the iLO password - and I dont have a monitor that I can use to reset it via the BIOS.

    I do remember this vulnerability from a couple of years ago, that where I could get the password (or change it) for the Administrator user with a curl post request.
    But I can't find it.

    Help

    #linux #curl #hp #ilo #infosec #vulnerability_research #vulnerability #askfedi #askfediverse

  16. Ok, so I have this HP-server in my garage that I've had for years.
    I decided to plug it in, add drives and connect the iLO port.

    Ofcourse, I have forgotten the iLO password - and I dont have a monitor that I can use to reset it via the BIOS.

    I do remember this vulnerability from a couple of years ago, that where I could get the password (or change it) for the Administrator user with a curl post request.
    But I can't find it.

    Help

    #linux #curl #hp #ilo #infosec #vulnerability_research #vulnerability #askfedi #askfediverse

  17. Ok, so I have this HP-server in my garage that I've had for years.
    I decided to plug it in, add drives and connect the iLO port.

    Ofcourse, I have forgotten the iLO password - and I dont have a monitor that I can use to reset it via the BIOS.

    I do remember this vulnerability from a couple of years ago, that where I could get the password (or change it) for the Administrator user with a curl post request.
    But I can't find it.

    Help

    #linux #curl #hp #ilo #infosec #vulnerability_research #vulnerability #askfedi #askfediverse

  18. Ok, so I have this HP-server in my garage that I've had for years.
    I decided to plug it in, add drives and connect the iLO port.

    Ofcourse, I have forgotten the iLO password - and I dont have a monitor that I can use to reset it via the BIOS.

    I do remember this vulnerability from a couple of years ago, that where I could get the password (or change it) for the Administrator user with a curl post request.
    But I can't find it.

    Help

    #linux #curl #hp #ilo #infosec #vulnerability_research #vulnerability #askfedi #askfediverse

  19. Топ самых интересных CVE за январь 2026 года

    Всем привет! Открываем год большой подборкой самых интересных CVE. В январе десяточку по CVSS выбил побег из песочницы в системе обмена сообщениями Firefox и Thunderbird — вредоносный код на странице или в письме ведёт к RCE. Произвольным кодом также отметились инструмент «untgz» библиотеки zlib, FreeRDP, Oracle WebLogic Proxy Plug-in и некоторые компоненты Microsoft. Кроме того, в сервере пакета GNU Inetutils «telnetd» закрыли тривиальный эксплойт под RCE, остававшийся незамеченным 11 лет. Конечно же, не обошлись без RCE и продукты от Cisco — затронута её телефония. Об этом и других ключевых CVE первого месяца 2026-го читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  20. Топ самых интересных CVE за январь 2026 года

    Всем привет! Открываем год большой подборкой самых интересных CVE. В январе десяточку по CVSS выбил побег из песочницы в системе обмена сообщениями Firefox и Thunderbird — вредоносный код на странице или в письме ведёт к RCE. Произвольным кодом также отметились инструмент «untgz» библиотеки zlib, FreeRDP, Oracle WebLogic Proxy Plug-in и некоторые компоненты Microsoft. Кроме того, в сервере пакета GNU Inetutils «telnetd» закрыли тривиальный эксплойт под RCE, остававшийся незамеченным 11 лет. Конечно же, не обошлись без RCE и продукты от Cisco — затронута её телефония. Об этом и других ключевых CVE первого месяца 2026-го читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  21. Топ самых интересных CVE за январь 2026 года

    Всем привет! Открываем год большой подборкой самых интересных CVE. В январе десяточку по CVSS выбил побег из песочницы в системе обмена сообщениями Firefox и Thunderbird — вредоносный код на странице или в письме ведёт к RCE. Произвольным кодом также отметились инструмент «untgz» библиотеки zlib, FreeRDP, Oracle WebLogic Proxy Plug-in и некоторые компоненты Microsoft. Кроме того, в сервере пакета GNU Inetutils «telnetd» закрыли тривиальный эксплойт под RCE, остававшийся незамеченным 11 лет. Конечно же, не обошлись без RCE и продукты от Cisco — затронута её телефония. Об этом и других ключевых CVE первого месяца 2026-го читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  22. Топ самых интересных CVE за январь 2026 года

    Всем привет! Открываем год большой подборкой самых интересных CVE. В январе десяточку по CVSS выбил побег из песочницы в системе обмена сообщениями Firefox и Thunderbird — вредоносный код на странице или в письме ведёт к RCE. Произвольным кодом также отметились инструмент «untgz» библиотеки zlib, FreeRDP, Oracle WebLogic Proxy Plug-in и некоторые компоненты Microsoft. Кроме того, в сервере пакета GNU Inetutils «telnetd» закрыли тривиальный эксплойт под RCE, остававшийся незамеченным 11 лет. Конечно же, не обошлись без RCE и продукты от Cisco — затронута её телефония. Об этом и других ключевых CVE первого месяца 2026-го читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  23. Топ самых интересных CVE за декабрь 2025 года

    Всем привет! Закрываем год подборкой главных CVE декабря. Звездой месяца, несомненно, стала React2Shell — единственный плюс, что её исправили в начале декабря, а не на праздники, как MongoBleed. Кроме того, в Fortinet закрыли уязвимость на обход аутентификации, а в продуктах Apple в WebKit, который помимо прочего использует Google Chrome на iOS, исправили CVE на use-after-free. В компонентах Apache Tika нашли CVE под произвольный код, а в Gogs остаётся неисправленным нулевой день также под RCE, эксплойт которого активно идёт уже давно. Обо всём этом и других ключевых уязвимостях последнего месяца уходящего года читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  24. Топ самых интересных CVE за декабрь 2025 года

    Всем привет! Закрываем год подборкой главных CVE декабря. Звездой месяца, несомненно, стала React2Shell — единственный плюс, что её исправили в начале декабря, а не на праздники, как MongoBleed. Кроме того, в Fortinet закрыли уязвимость на обход аутентификации, а в продуктах Apple в WebKit, который помимо прочего использует Google Chrome на iOS, исправили CVE на use-after-free. В компонентах Apache Tika нашли CVE под произвольный код, а в Gogs остаётся неисправленным нулевой день также под RCE, эксплойт которого активно идёт уже давно. Обо всём этом и других ключевых уязвимостях последнего месяца уходящего года читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  25. Топ самых интересных CVE за декабрь 2025 года

    Всем привет! Закрываем год подборкой главных CVE декабря. Звездой месяца, несомненно, стала React2Shell — единственный плюс, что её исправили в начале декабря, а не на праздники, как MongoBleed. Кроме того, в Fortinet закрыли уязвимость на обход аутентификации, а в продуктах Apple в WebKit, который помимо прочего использует Google Chrome на iOS, исправили CVE на use-after-free. В компонентах Apache Tika нашли CVE под произвольный код, а в Gogs остаётся неисправленным нулевой день также под RCE, эксплойт которого активно идёт уже давно. Обо всём этом и других ключевых уязвимостях последнего месяца уходящего года читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  26. Топ самых интересных CVE за декабрь 2025 года

    Всем привет! Закрываем год подборкой главных CVE декабря. Звездой месяца, несомненно, стала React2Shell — единственный плюс, что её исправили в начале декабря, а не на праздники, как MongoBleed. Кроме того, в Fortinet закрыли уязвимость на обход аутентификации, а в продуктах Apple в WebKit, который помимо прочего использует Google Chrome на iOS, исправили CVE на use-after-free. В компонентах Apache Tika нашли CVE под произвольный код, а в Gogs остаётся неисправленным нулевой день также под RCE, эксплойт которого активно идёт уже давно. Обо всём этом и других ключевых уязвимостях последнего месяца уходящего года читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  27. Топ самых интересных CVE за ноябрь 2025 года

    Всем привет! Пока мир знакомится с новогодним подарком в лице React2Shell и ловит флешбэки в ноябрь 2021-го, давайте подведём итоги этого ноября дайджестом главных CVE прошлого месяца и вспомним его добрым словом. В ОС Android версий с 13 по 16 включительно закрыли 0-click под RCE, связанный с недостаточной проверкой входных данных. Схожую уязвимость обнаружили и в библиотеке Javascript expr-eval c произвольным кодом в контексте приложения. Произвольными командами отметился и Cisco UCCX. Критических CVE под разное произвольное в ноябре в целом было много: пострадали также 7-Zip, Gladinet Triofox, Fortinet FortiWeb и Google Chrome. Обо всём этом и других ключевых уязвимостях последнего осеннего месяца читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  28. Топ самых интересных CVE за ноябрь 2025 года

    Всем привет! Пока мир знакомится с новогодним подарком в лице React2Shell и ловит флешбэки в ноябрь 2021-го, давайте подведём итоги этого ноября дайджестом главных CVE прошлого месяца и вспомним его добрым словом. В ОС Android версий с 13 по 16 включительно закрыли 0-click под RCE, связанный с недостаточной проверкой входных данных. Схожую уязвимость обнаружили и в библиотеке Javascript expr-eval c произвольным кодом в контексте приложения. Произвольными командами отметился и Cisco UCCX. Критических CVE под разное произвольное в ноябре в целом было много: пострадали также 7-Zip, Gladinet Triofox, Fortinet FortiWeb и Google Chrome. Обо всём этом и других ключевых уязвимостях последнего осеннего месяца читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  29. Топ самых интересных CVE за ноябрь 2025 года

    Всем привет! Пока мир знакомится с новогодним подарком в лице React2Shell и ловит флешбэки в ноябрь 2021-го, давайте подведём итоги этого ноября дайджестом главных CVE прошлого месяца и вспомним его добрым словом. В ОС Android версий с 13 по 16 включительно закрыли 0-click под RCE, связанный с недостаточной проверкой входных данных. Схожую уязвимость обнаружили и в библиотеке Javascript expr-eval c произвольным кодом в контексте приложения. Произвольными командами отметился и Cisco UCCX. Критических CVE под разное произвольное в ноябре в целом было много: пострадали также 7-Zip, Gladinet Triofox, Fortinet FortiWeb и Google Chrome. Обо всём этом и других ключевых уязвимостях последнего осеннего месяца читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  30. Топ самых интересных CVE за ноябрь 2025 года

    Всем привет! Пока мир знакомится с новогодним подарком в лице React2Shell и ловит флешбэки в ноябрь 2021-го, давайте подведём итоги этого ноября дайджестом главных CVE прошлого месяца и вспомним его добрым словом. В ОС Android версий с 13 по 16 включительно закрыли 0-click под RCE, связанный с недостаточной проверкой входных данных. Схожую уязвимость обнаружили и в библиотеке Javascript expr-eval c произвольным кодом в контексте приложения. Произвольными командами отметился и Cisco UCCX. Критических CVE под разное произвольное в ноябре в целом было много: пострадали также 7-Zip, Gladinet Triofox, Fortinet FortiWeb и Google Chrome. Обо всём этом и других ключевых уязвимостях последнего осеннего месяца читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

  31. Топ самых интересных CVE за октябрь 2024 года

    Всем привет! Это наша традиционная подборка самых интересных CVE ушедшего месяца. В октябре десяточку по CVSS выбил Zimbra — в сервере RCE от неаутентифицированных злоумышленников с несложным эксплойтом и проверкой концепции. Помимо этого, месяц отметился многочисленными критическими уязвимостями. В Kubernetes Image Builder учётка по умолчанию с доступом к виртуалкам. В GitLab EE очередной эксплойт под запуск pipeline jobs произвольными юзерами. В одном API FortiManager отсутствует аутентификация, а в Firefox исправили Use-After-Free — обе под произвольный код. А также у нас куча исправленных Microsoft уязвимостей, несколько с активным эксплойтом и под RCE. Об этом и других ключевых CVE октября читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerability_assessment #vulnerability_scanning #vulnerabilities #vulnerability_research #information_security #уязвимости #анализ_уязвимостей #пентест

  32. Топ самых интересных CVE за сентябрь 2024 года

    Всем привет!Подводим итоги сентября нашей подборкой самых интересных CVE. Так, первый осенний месяц принёс исправления пяти нулевых дней в продуктах от Microsoft, которые активно эксплойтят в сетевых дебрях. Десяточкой по CVSS отметились уязвимости в FreeBSD под RCE и в Progress LoadMaster под выполнение команд. В GitLab CE/EE снова нашли CVE под неавторизированный запуск pipeline jobs. Уязвимостями под произвольный код также отметились VMware vCenter Server, SolarWinds ARM, EPM от Ivanti и Adobe Acrobat Reader. Об этом и других серьёзных уязвимостях сентября читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerabilities #vulnerability_assessment #vulnerability_scanning #vulnerability_research #information_security #пентест #уязвимости #анализ_уязвимостей

  33. Топ самых интересных CVE за август 2024 года

    Всем привет! Публикуем нашу традиционную подборку самых интересных CVE ушедшего месяца. В августе десяткой по CVSS отметился плагин GiveWP для WordPress под удалённый код от неавторизированных злоумышленников, а 9.8 выбил LiteSpeed Cache со слабым алгоритмом хеширования. Месяц был богат на критические уязвимости: в GitHub Enterprise Server и SAP BusinessObjects исправили обход аутентификации, а в OpenVPN обнаружили сразу четыре уязвимости под RCE и LPE, две из них — на 9.8 баллов. Россыпь уязвимостей, эксплуатируемых злоумышленниками, была исправлена в продуктах от Microsoft, включая нашумевшую CVE-2024-38063 в IPv6. Об этом и других интересных уязвимостях августа читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_scanning #vulnerability_research #information_security #пентест #уязвимости #анализ_уязвимостей

  34. Топ самых интересных CVE за июль 2024 года

    Всем привет! Подводим итоги июля дайджестом самых интересных CVE прошлого месяца. В Telegram была закрыта уязвимость, позволявшая загружать вредоносные .apk под видом видеофайлов. Июль был богат на нулевые дни в Gogs: в популярном Git-сервисе три критических бага, пока не получивших патчей. В OpenSSH исправили две RCE-уязвимости, а в GitLab CE/EE — критическую на запуск pipeline jobs произвольным пользователем. Десяточкой по CVSS отметилась уязвимость в системе аутентификации Cisco SSM On-Prem, позволяющая злоумышленнику менять пароли в системе вплоть до администраторов. Максимальный рейтинг также получила CVE на обход плагина авторизации в Docker Engine. Об этом и других интересных уязвимостях ушедшего месяца читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerabilities #vulnerability_scanning #vulnerability_research #vulnerability_assessment #information_security #пентест #уязвимости #анализ_защищенности

  35. Топ самых интересных CVE за июль 2024 года

    Всем привет! Подводим итоги июля дайджестом самых интересных CVE прошлого месяца. В Telegram была закрыта уязвимость, позволявшая загружать вредоносные .apk под видом видеофайлов. Июль был богат на нулевые дни в Gogs: в популярном Git-сервисе три критических бага, пока не получивших патчей. В OpenSSH исправили две RCE-уязвимости, а в GitLab CE/EE — критическую на запуск pipeline jobs произвольным пользователем. Десяточкой по CVSS отметилась уязвимость в системе аутентификации Cisco SSM On-Prem, позволяющая злоумышленнику менять пароли в системе вплоть до администраторов. Максимальный рейтинг также получила CVE на обход плагина авторизации в Docker Engine. Об этом и других интересных уязвимостях ушедшего месяца читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerabilities #vulnerability_scanning #vulnerability_research #vulnerability_assessment #information_security #пентест #уязвимости #анализ_защищенности

  36. Топ самых интересных CVE за июль 2024 года

    Всем привет! Подводим итоги июля дайджестом самых интересных CVE прошлого месяца. В Telegram была закрыта уязвимость, позволявшая загружать вредоносные .apk под видом видеофайлов. Июль был богат на нулевые дни в Gogs: в популярном Git-сервисе три критических бага, пока не получивших патчей. В OpenSSH исправили две RCE-уязвимости, а в GitLab CE/EE — критическую на запуск pipeline jobs произвольным пользователем. Десяточкой по CVSS отметилась уязвимость в системе аутентификации Cisco SSM On-Prem, позволяющая злоумышленнику менять пароли в системе вплоть до администраторов. Максимальный рейтинг также получила CVE на обход плагина авторизации в Docker Engine. Об этом и других интересных уязвимостях ушедшего месяца читайте под катом!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerabilities #vulnerability_scanning #vulnerability_research #vulnerability_assessment #information_security #пентест #уязвимости #анализ_защищенности

  37. I’m looking for a feed that aggregates recent reverse engineering and vulnerability centric security writeups, like the ones posted by Google project zero. I know there are many different security firms and academics that post these kind of articles now and then, but I’m having a hard time with discovery as every news site or feed I find is focused on cybersecurity threats and CVEs, or simply just malware actor reports.

    Does anyone have something that fits the bill?
    #reverseengineering #googleprojectzero #projectzero #vulnerability #vulnerability_research

  38. Топ самых интересных CVE за июнь 2024 года

    Всем привет! Подводим итоги июня подборкой самых интересных CVE месяца. Так, в PHP обнаружили критическую уязвимость, позволяющую неавторизованному злоумышленнику выполнять произвольный код под Windows на определённых локалях. RCE под последнюю также засветилась в драйвере Wi-Fi, сделав подключение к общедоступным сетям ещё менее желательным. Пользователи MOVEit Transfer ещё не отошли от приключений с Cl0p, а в софте два новых критических бага на обход аутентификации. Уязвимость такого же типа затронула маршрутизаторы от ASUS. А в роутерах D-Link всплыл тестовый бэкдор. Июнь также принёс россыпь уязвимостей в продуктах от Apple и VMware и многое другое. За подробностями добро пожаловать под кат!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerabilities #vulnerability_scanning #vulnerability_research #vulnerability_assessment #information_security #пентест #уязвимости #анализ_защищенности

  39. Топ самых интересных CVE за июнь 2024 года

    Всем привет! Подводим итоги июня подборкой самых интересных CVE месяца. Так, в PHP обнаружили критическую уязвимость, позволяющую неавторизованному злоумышленнику выполнять произвольный код под Windows на определённых локалях. RCE под последнюю также засветилась в драйвере Wi-Fi, сделав подключение к общедоступным сетям ещё менее желательным. Пользователи MOVEit Transfer ещё не отошли от приключений с Cl0p, а в софте два новых критических бага на обход аутентификации. Уязвимость такого же типа затронула маршрутизаторы от ASUS. А в роутерах D-Link всплыл тестовый бэкдор. Июнь также принёс россыпь уязвимостей в продуктах от Apple и VMware и многое другое. За подробностями добро пожаловать под кат!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerabilities #vulnerability_scanning #vulnerability_research #vulnerability_assessment #information_security #пентест #уязвимости #анализ_защищенности

  40. Топ самых интересных CVE за июнь 2024 года

    Всем привет! Подводим итоги июня подборкой самых интересных CVE месяца. Так, в PHP обнаружили критическую уязвимость, позволяющую неавторизованному злоумышленнику выполнять произвольный код под Windows на определённых локалях. RCE под последнюю также засветилась в драйвере Wi-Fi, сделав подключение к общедоступным сетям ещё менее желательным. Пользователи MOVEit Transfer ещё не отошли от приключений с Cl0p, а в софте два новых критических бага на обход аутентификации. Уязвимость такого же типа затронула маршрутизаторы от ASUS. А в роутерах D-Link всплыл тестовый бэкдор. Июнь также принёс россыпь уязвимостей в продуктах от Apple и VMware и многое другое. За подробностями добро пожаловать под кат!

    habr.com/ru/companies/tomhunte

    #cve #vulnerability #vulnerabilities #vulnerability_scanning #vulnerability_research #vulnerability_assessment #information_security #пентест #уязвимости #анализ_защищенности

  41. Топ самых интересных CVE за май 2024 года

    Всем привет! Это наша традиционная подборка самых интересных CVE мая. В последний весенний месяц десяточкой по CVSS отметилась уязвимость на полный доступ к системе в GitHub Enterprise Server. Доступ к учётным записям также предоставят баги в веб-интерфейсе VBEM. А в прокси-сервере Tinyproxy нашли уязвимость под произвольное выполнение кода. Май был богат на нулевые дни в Chrome и Microsoft, а также принёс атаки по VPN-соединениям на перехват трафика и повышение привилегий в macOS. Об этом и других любопытных CVE прошлого месяца читайте под катом!

    habr.com/ru/companies/tomhunte

    #пентест #cve #информационная_безопасность #information_security #уязвимости #анализ_защищенности #vulnerability #vulnerabilities #vulnerability_scanning #vulnerability_research

  42. Топ самых интересных CVE за май 2024 года

    Всем привет! Это наша традиционная подборка самых интересных CVE мая. В последний весенний месяц десяточкой по CVSS отметилась уязвимость на полный доступ к системе в GitHub Enterprise Server. Доступ к учётным записям также предоставят баги в веб-интерфейсе VBEM. А в прокси-сервере Tinyproxy нашли уязвимость под произвольное выполнение кода. Май был богат на нулевые дни в Chrome и Microsoft, а также принёс атаки по VPN-соединениям на перехват трафика и повышение привилегий в macOS. Об этом и других любопытных CVE прошлого месяца читайте под катом!

    habr.com/ru/companies/tomhunte

    #пентест #cve #информационная_безопасность #information_security #уязвимости #анализ_защищенности #vulnerability #vulnerabilities #vulnerability_scanning #vulnerability_research

  43. Топ самых интересных CVE за май 2024 года

    Всем привет! Это наша традиционная подборка самых интересных CVE мая. В последний весенний месяц десяточкой по CVSS отметилась уязвимость на полный доступ к системе в GitHub Enterprise Server. Доступ к учётным записям также предоставят баги в веб-интерфейсе VBEM. А в прокси-сервере Tinyproxy нашли уязвимость под произвольное выполнение кода. Май был богат на нулевые дни в Chrome и Microsoft, а также принёс атаки по VPN-соединениям на перехват трафика и повышение привилегий в macOS. Об этом и других любопытных CVE прошлого месяца читайте под катом!

    habr.com/ru/companies/tomhunte

    #пентест #cve #информационная_безопасность #information_security #уязвимости #анализ_защищенности #vulnerability #vulnerabilities #vulnerability_scanning #vulnerability_research

  44. Топ самых интересных CVE за январь 2024 года

    Всем привет! Первый месяц года выдался богатым на любопытные CVE. Так, шуму наделала критическая уязвимость в Jenkins, к которой быстро опубликовали ворох эксплойтов. Также засветились CVE на GitLab на запись произвольных файлов и RCE в продуктах Cisco с потенциальным root-доступом. Критическими уязвимостями отметился GitHub Enterprise Server, и, конечно же, не обошлось без экстренного исправления россыпи багов в Google Chrome. Об этом и других интересных CVE января читайте под катом!

    habr.com/ru/companies/tomhunte

    #пентест #cve #уязвимости #информационная_безопасность #анализ_защищенности #vulnerability #vulnerabilities #vulnerability_assessment #vulnerability_scanning #vulnerability_research

  45. Топ самых интересных CVE за январь 2024 года

    Всем привет! Первый месяц года выдался богатым на любопытные CVE. Так, шуму наделала критическая уязвимость в Jenkins, к которой быстро опубликовали ворох эксплойтов. Также засветились CVE на GitLab на запись произвольных файлов и RCE в продуктах Cisco с потенциальным root-доступом. Критическими уязвимостями отметился GitHub Enterprise Server, и, конечно же, не обошлось без экстренного исправления россыпи багов в Google Chrome. Об этом и других интересных CVE января читайте под катом!

    habr.com/ru/companies/tomhunte

    #пентест #cve #уязвимости #информационная_безопасность #анализ_защищенности #vulnerability #vulnerabilities #vulnerability_assessment #vulnerability_scanning #vulnerability_research

  46. Топ самых интересных CVE за декабрь 2023 года

    Всем привет! По следам ушедшего года публикуем подборку самых интересных CVE за последний месяц 2023-го. В декабре засветился ворох уязвимостей в Chrome и Firefox, вынудивших компании выпускать экстренные патчи. А также критические уязвимости в OpenSSH, фреймворке Apache Struts и маршрутизаторе Netgear. Об этом и других любопытных CVE прошлого месяца читайте под катом!

    habr.com/ru/companies/tomhunte

    #пентест #cve #уязвимости #информационная_безопасность #анализ_защищенности #vulnerability #vulnerability_assessment #vulnerability_scanning #vulnerability_research

  47. Топ самых интересных CVE за декабрь 2023 года

    Всем привет! По следам ушедшего года публикуем подборку самых интересных CVE за последний месяц 2023-го. В декабре засветился ворох уязвимостей в Chrome и Firefox, вынудивших компании выпускать экстренные патчи. А также критические уязвимости в OpenSSH, фреймворке Apache Struts и маршрутизаторе Netgear. Об этом и других любопытных CVE прошлого месяца читайте под катом!

    habr.com/ru/companies/tomhunte

    #пентест #cve #уязвимости #информационная_безопасность #анализ_защищенности #vulnerability #vulnerability_assessment #vulnerability_scanning #vulnerability_research

  48. Топ самых интересных CVE за ноябрь 2023 года

    В этой подборке представлены самые интересные уязвимости за ноябрь 2023 года. Подведем вместе итоги последнего месяца осени, поехали!

    habr.com/ru/companies/tomhunte

    #пентест #cve #информационная_безопасность #анализ_защищенности #уязвимости #vulnerability #vulnerability_assessment #vulnerability_scanning #vulnerability_research

  49. Топ самых интересных CVE за ноябрь 2023 года

    В этой подборке представлены самые интересные уязвимости за ноябрь 2023 года. Подведем вместе итоги последнего месяца осени, поехали!

    habr.com/ru/companies/tomhunte

    #пентест #cve #информационная_безопасность #анализ_защищенности #уязвимости #vulnerability #vulnerability_assessment #vulnerability_scanning #vulnerability_research