#vulnerability_research — Public Fediverse posts on home.social

Habr @[email protected] · 2026-05-05 · 15:32 UTC

Топ самых интересных CVE за апрель 2026 года

Собрали самые интересные CVE апреля в нашу традиционную подборку. Критическими уязвимостями под RCE в прошлом месяце отметились Microsoft Azure и Bing, а также Mozilla Firefox и Thunderbird. Месяц не обошёлся и без критических уязвимостей в продуктах от Cisco: в IMC и SSM On-Prem исправили обход аутентификации и произвольные команды с root-правами, соответственно. Критические CVE также закрыли в OpenSSL, JavaScript-движке в процессорах Samsung Exynos и продуктах от SAP. Обо всём этом и других ключевых уязвимостях апреля читайте под катом!

https://habr.com/ru/articles/1031750/

#cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

#уязвимости_и_их_эксплуатация #уязвимость_нулевого_дня #уязвимости #vulnerability_research #vulnerabilities #vulnerability_assessment

Habr @[email protected] · 2026-04-06 · 14:52 UTC

Топ самых интересных CVE за март 2026 года

Всем привет! Подводим итоги марта по части самых интересных CVE. Дайджест был бы неполным без десяточки от Cisco: небезопасная десериализация под RCE в Cisco FMC, активно эксплуатируемая с конца января. Отдельно также отметилась компрометация цепочки поставок сканера уязвимостей Aqua Trivy с далеко идущими последствиями, включая кражу исходников у той же Cisco. В ИИ-платформе Langflow критическая уязвимость под внедрение кода без аутентификации, в Chrome два нулевых дня в Skia и V8, а в Microsoft Excel эксплойт Copilot под утечку данных без участия пользователя. Об этом и других ключевых уязвимостях марта читайте под катом!

https://habr.com/ru/articles/1019978/

#cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

#уязвимости_и_их_эксплуатация #уязвимость_нулевого_дня #уязвимости #vulnerability_research #vulnerabilities #vulnerability_assessment

Habr @[email protected] · 2026-03-04 · 15:02 UTC

Топ самых интересных CVE за февраль 2026 года

Всем привет! Разбираем ключевые CVE ушедшего месяца в нашей традиционной подборке. Февраль отметился RCE в продуктах BeyondTrust — 9.9 по CVSS с активно идущей эксплуатацией. Фичевый блоут привёл к RCE в блокноте Windows: вектором атаки через произвольные команды стала добавленная поддержка Markdown, и это вызвало шквал критики в адрес Microsoft. Помимо этого, в Google Chrome исправили первый 0-day 2026-го c идущим эксплойтом, а символические ссылки на этот раз подвели Apple: во множестве её продуктов состояние гонки при их обработке. В Content API Ghost закрыли внедрение SQL, в Gogs — обход двухфакторки, а в продуктах от Microsoft — полдюжины эксплуатируемых нулевых дней. Об этом и других интересных уязвимостях февраля читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/1006514/

#cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

#уязвимости_и_их_эксплуатация #уязвимость_нулевого_дня #уязвимости #vulnerability_research #vulnerabilities #vulnerability_assessment

:debian: 𝚜𝚎𝚕𝚎𝚊 :cmx_leaf: @[email protected] · 2026-02-13 · 17:02 UTC

Ok, so I have this HP-server in my garage that I've had for years.
I decided to plug it in, add drives and connect the iLO port.

Ofcourse, I have forgotten the iLO password - and I dont have a monitor that I can use to reset it via the BIOS.

I do remember this vulnerability from a couple of years ago, that where I could get the password (or change it) for the Administrator user with a curl post request.
But I can't find it.

Help

#linux #curl #hp #ilo #infosec #vulnerability_research #vulnerability #askfedi #askfediverse

#linux #curl #hp #ilo #infosec #vulnerability_research

:debian: 𝚜𝚎𝚕𝚎𝚊 :cmx_leaf: @[email protected] · 2026-02-13 · 17:02 UTC

Ok, so I have this HP-server in my garage that I've had for years.
I decided to plug it in, add drives and connect the iLO port.

Ofcourse, I have forgotten the iLO password - and I dont have a monitor that I can use to reset it via the BIOS.

I do remember this vulnerability from a couple of years ago, that where I could get the password (or change it) for the Administrator user with a curl post request.
But I can't find it.

Help

#linux #curl #hp #ilo #infosec #vulnerability_research #vulnerability #askfedi #askfediverse

#linux #curl #hp #ilo #infosec #vulnerability_research

:debian: 𝚜𝚎𝚕𝚎𝚊 :cmx_leaf: @[email protected] · 2026-02-13 · 17:02 UTC

Ok, so I have this HP-server in my garage that I've had for years.
I decided to plug it in, add drives and connect the iLO port.

Ofcourse, I have forgotten the iLO password - and I dont have a monitor that I can use to reset it via the BIOS.

I do remember this vulnerability from a couple of years ago, that where I could get the password (or change it) for the Administrator user with a curl post request.
But I can't find it.

Help

#linux #curl #hp #ilo #infosec #vulnerability_research #vulnerability #askfedi #askfediverse

#linux #curl #hp #ilo #infosec #vulnerability_research

:debian: 𝚜𝚎𝚕𝚎𝚊 :cmx_leaf: @[email protected] · 2026-02-13 · 17:02 UTC

Ok, so I have this HP-server in my garage that I've had for years.
I decided to plug it in, add drives and connect the iLO port.

Ofcourse, I have forgotten the iLO password - and I dont have a monitor that I can use to reset it via the BIOS.

I do remember this vulnerability from a couple of years ago, that where I could get the password (or change it) for the Administrator user with a curl post request.
But I can't find it.

Help

#linux #curl #hp #ilo #infosec #vulnerability_research #vulnerability #askfedi #askfediverse

#linux #curl #hp #ilo #infosec #vulnerability_research

Habr @[email protected] · 2026-02-03 · 15:42 UTC

Топ самых интересных CVE за январь 2026 года

Всем привет! Открываем год большой подборкой самых интересных CVE. В январе десяточку по CVSS выбил побег из песочницы в системе обмена сообщениями Firefox и Thunderbird — вредоносный код на странице или в письме ведёт к RCE. Произвольным кодом также отметились инструмент «untgz» библиотеки zlib, FreeRDP, Oracle WebLogic Proxy Plug-in и некоторые компоненты Microsoft. Кроме того, в сервере пакета GNU Inetutils «telnetd» закрыли тривиальный эксплойт под RCE, остававшийся незамеченным 11 лет. Конечно же, не обошлись без RCE и продукты от Cisco — затронута её телефония. Об этом и других ключевых CVE первого месяца 2026-го читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/992358/

#cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

#уязвимости_и_их_эксплуатация #уязвимость_нулевого_дня #уязвимости #vulnerability_research #vulnerabilities #vulnerability_assessment

Habr @[email protected] · 2025-12-30 · 13:02 UTC

Топ самых интересных CVE за декабрь 2025 года

Всем привет! Закрываем год подборкой главных CVE декабря. Звездой месяца, несомненно, стала React2Shell — единственный плюс, что её исправили в начале декабря, а не на праздники, как MongoBleed. Кроме того, в Fortinet закрыли уязвимость на обход аутентификации, а в продуктах Apple в WebKit, который помимо прочего использует Google Chrome на iOS, исправили CVE на use-after-free. В компонентах Apache Tika нашли CVE под произвольный код, а в Gogs остаётся неисправленным нулевой день также под RCE, эксплойт которого активно идёт уже давно. Обо всём этом и других ключевых уязвимостях последнего месяца уходящего года читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/980578/

#cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

#уязвимости_и_их_эксплуатация #уязвимость_нулевого_дня #уязвимости #vulnerability_research #vulnerabilities #vulnerability_assessment

Habr @[email protected] · 2025-12-04 · 14:02 UTC

Топ самых интересных CVE за ноябрь 2025 года

Всем привет! Пока мир знакомится с новогодним подарком в лице React2Shell и ловит флешбэки в ноябрь 2021-го, давайте подведём итоги этого ноября дайджестом главных CVE прошлого месяца и вспомним его добрым словом. В ОС Android версий с 13 по 16 включительно закрыли 0-click под RCE, связанный с недостаточной проверкой входных данных. Схожую уязвимость обнаружили и в библиотеке Javascript expr-eval c произвольным кодом в контексте приложения. Произвольными командами отметился и Cisco UCCX. Критических CVE под разное произвольное в ноябре в целом было много: пострадали также 7-Zip, Gladinet Triofox, Fortinet FortiWeb и Google Chrome. Обо всём этом и других ключевых уязвимостях последнего осеннего месяца читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/972146/

#cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_research #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

#уязвимости_и_их_эксплуатация #уязвимость_нулевого_дня #уязвимости #vulnerability_research #vulnerabilities #vulnerability_assessment

Gnomer @[email protected] · 2024-07-17 · 10:44 UTC

I’m looking for a feed that aggregates recent reverse engineering and vulnerability centric security writeups, like the ones posted by Google project zero. I know there are many different security firms and academics that post these kind of articles now and then, but I’m having a hard time with discovery as every news site or feed I find is focused on cybersecurity threats and CVEs, or simply just malware actor reports.

Does anyone have something that fits the bill?
#reverseengineering #googleprojectzero #projectzero #vulnerability #vulnerability_research