Уязвимость в серверных компонентах React, позволяющая выполнить код на сервере В серверных компонентах web-фреймворка React (RSC, React Server Components) устранена уязвимость (CVE-2025-55182), позволявшая через отправку запроса к серверному обработчику выполнить произвольный код на сервере. Проблеме присвоен критический уровень опасности (10 из 10). Уязвимость проявляется в э ...
Уязвимость React2Shell используется для атак на российские компании и применяется вымогателями Ситуация вокруг критической уязвимости React2Shell продолжает развиваться. Так, специалисты уже зафиксировали атаки на российские компании. По информации Google, проблему применяют все больше китайских и иранских группировок, а также React2Shell уже используют вымогатели. Параллельно с этим разработ ...
Хакеры из КНДР применяют свежую уязвимость React2Shell для развертывания EtherRAT Всего через два дня после раскрытия критической уязвимости React2Shell исследователи из компании Sysdig обнаружили в скомпрометированном Next.js-приложении новую малварь EtherRAT. Вредонос использует смарт-контракты Ethereum для связи и закрепляется в Linux-системах сразу пятью способами. ...
BI.Zone: новую критическую уязвимость React2Shell начали использовать в атаках на российские компании Критическую уязвимость CVE-2025-55182, оцененную в 10 баллов по шкале CVSS, впервые описали 4 декабря 2025 г. Уже в течение... ...
XSS с самого начала. Разбираем на пальцах базовую веб-уязвимость Для подписчиковСегодня поговорим о самой массовой уязвимости в веб‑приложениях — XSS. Я постараюсь растолковать суть этой проблемы на пальцах. Из этой статьи ты узнаешь, как отправить послание всем пользователям сайта, как устроить атаку на сайт при помощи файла SVG и как увести cookie админа. ...
Ultra App Kit. Пишем программы на новом кросс-платформенном фреймворке Для подписчиковВ этой статье посмотрим и испытаем на реальных задачах библиотеку Ultra App Kit. Это современный кросс‑платформенный фреймворк для C++, который позволяет писать оконные приложения и широко применяет последние стандарты C++14 и С++17. С ним удобно использовать интеллектуальные указател ...
Китайские хакеры уже эксплуатируют критический баг React2Shell Всего через несколько часов после раскрытия информации о критической уязвимости React2Shell злоумышленники начали использовать проблему в атаках. Более того, уже подтверждены атаки на более чем 30 организаций из разных секторов, а количество уязвимых серверов, по оценкам исследователей, превышает 77 ...
В компании «Газинформсервис» проанализировали критические RCE-уязвимости в экосистеме React/Next.js Специалисты компании «Газинформсервис» проанализировали критические уязвимости CVE-2025-55182 и CVE-2025-66478 в экосистеме... ...
Критические уязвимости в React и Next.js приводят к удаленному выполнению кода без аутентификации В React обнаружили серьезную уязвимость CVE-2025-55182, получившую 10 баллов из 10 возможных по шкале CVSS. Она позволяет удаленно выполнить код на сервере без аутентификации. Проблема получила имя React2Shell и вызвала настоящую панику в индустрии, ведь под угрозой находятся миллионы ресурсов. ...
Разбираем 5 фактов о саможалении: вредно ли это для психики? Самосострадание может быть полезным, но слишком много его приводит к депрессии. Узнайте, как не застрять в ловушке саможаления. ...
ReDisclosure. Разбираем инъекции в полнотекстовый поиск на примере MyBB Для подписчиковВ течение многих лет атаки с использованием SQL-инъекций в основном сводились к попыткам нарушить синтаксис запросов. Однако с развитием инструментов акцент сместился на создание «крутых нагрузок» и разбор предупреждений SAST, которые многие игнорируют. Я же попробовал поискать возмож ...
Железо для хешкрекинга. Разбираем аппаратные основы подбора хешей Для подписчиковВзлом хешей методом перебора — одно из ключевых хакерских занятий, уходящее корнями еще в докомпьютерную эпоху. Главное в этом деле — эффективность, а чтобы ее добиться, нужно разбираться в железе. Сегодня вспомним, как устроен CPU, как можно использовать GPU, с какой стороны подступи ...
Как плед влияет на здоровье новорождённого: разбираем мифы и факты Как правильно выбрать плед для новорождённого? Узнайте о его важности для здоровья и комфорта малыша, а также получите советы от экспертов по текстилю. ...
Популярные средства для улучшения внимания: разбираем плюсы и минусы! Ищете, как повысить свою концентрацию и продуктивность? Узнайте, какие натуральные добавки могут помочь, и как правильно их использовать. ...
Вам не обязательно быть японцем: разбираем нюансы употребления суши и роллов Разберитесь в различиях между суши и роллами — их подача, вкусовые акценты и подходы к приготовлению. Узнайте, что выбрать на ужин! ...
Спортивное питание вызывает рак? Разбираем громкое заявление британского ученого Речь не обо всех добавках, а о протеине. Разбираемся в вопросе вместе с врачом-гастроэнтерологом ...
OWASP AI Testing Guide. Разбираем полную классификацию атак на нейросети Для подписчиковСегодня мы проведем исчерпывающий разбор нового гайда по безопасности от OWASP, посвященного искусственному интеллекту. Мы погрузимся в каждый из 32 пунктов гайда с техническими деталями, реальными и приближенными к реальности примерами атак, фрагментами кода и моими личными комментар ...
Nmap с самого начала. Разбираем основы разведки и сканирования сети Для подписчиковВ этой статье я расскажу, как пользоваться одной из топовых утилит для хакеров и пентестеров. Ты узнаешь, как происходит сканирование разными методами, и научишься собирать информацию о таргете перед атакой на сервер. Nmap в строю уже 28 лет, но актуальности не теряет. ...
Как тёмный шоколад влияет на биологический возраст: разбираем детали исследования Новое исследование британских учёных связывает теобромин и биологическое старение. Тогда сколько тёмного шоколада можно есть, чтобы не навредить себе? ...
Баги вместо кувалды. Разбираем сценарии логических атак на банкоматы Для подписчиковСегодня разберем устройство банкоматов и расскажем об основных видах атак на них. Затем в деталях рассмотрим те сценарии хищения денег, которые нам удалось обнаружить, и дадим рекомендации, как их предотвратить. ...
Идет инициализация! Разбираем плюсы и минусы init-систем для Linux Для подписчиковВыбор системы инициализации в Linux — важнейшая задача: от этого зависит надежность и безопасность. Systemd ругают за сложность и потенциальные уязвимости, SysVinit считается устаревшим, а OpenRC и runit — непонятная экзотика. В этой статье я разберу systemd, OpenRC и runit, их архите ...
Чем опасен фиктивный брак: разбираем последствия и даем пошаговую инструкцию Что такое фиктивный брак с точки зрения закона? Чем рискуют участники? Как доказать фиктивность в суде? Развод или признание брака недействительным? ...
Плохая форма. Разбираем техники тестирования и защиты форм восстановления пароля Для подписчиковНебольшая форма восстановления пароля может стать большой головной болью. На каждом шаге разработчики допускают ошибки. В этой статье я покажу актуальные методы атаки на формы сброса пароля и дам рекомендации, которые будут полезны пентестерам и разработчикам. ...
Новая «смерть» Позднякова: пиар или правда? Разбираем очередную инсценировку в Индонезии До сих пор сохраняется интрига вокруг судьбы скандального блогера Владислава Позднякова, известного расиста и женоненавистника. С ним якобы расправились в Индонезии, но в Сети уверены, что это фейк и очередной дурной розыгрыш блогера. Чем прославился Поздняков? ...
Игра про прокачку «петуха» и «трусики»: разбираем феномен ARC Raiders с экспертами индустрии 10 декабря состоялся последний в этом году эфир деконстракт-шоу «Что по игре?», которое выходит на платформе WN Academy. На этот раз эксперты подробно и довольно эмоционально обсудили механики, дизайн и другие аспекты одного из главных хитов осени — экстракшен-шутера ARC Raiders. ...
Пенсионные надбавки к 1 октября: Разбираем, кому и сколько доплатят в регионах России freepik.com В Международный день пожилых людей власти нескольких субъектов РФ утвердили разовые финансовые доплаты для пенсионеров. Федеральной инициативы в 2025 году не ожидается, поэтому поддержку организуют на местном уровне. Мы выяснили, в каких уголках страны пенсионерам положена осенняя прибав ...
Как работают масляные и водные средства для кожи и волос: разбираем составы и схемы нанесения Oil based или water based? Разбираемся, как определить основу средства, чтобы уход работал на вас, а не против. Советы косметолога и дерматолога. ...
Комический пенальти в ворота «Спартака» в матче с ЦСКА: разбираем важнейший эпизод дерби Самый спорный пенальти сезона.РИА-НовостиЦСКА и «Спартак» выдали четыре гола на двоих в первом тайме. На 10-й минуте встречи случился эпизод, который разделил во мнении футбольную общественность.Александр Мысякин, Sport24ЦСКА быстро открыл счет благодаря точному переводу Данила Кругового на Кирилла ...
Завтрак из автомата, который продлевает жизнь: разбираем состав биококтейлей, ставших культом в Токио Узнайте, как японские биококтейли стали частью культуры и помогли нации восстановиться после катастроф. Экспертный анализ состава, выбор напитка под цели и развенчание мифов о добавках. ...
Сумасшедшая Бритни из 2025 года на самом деле клон! Разбираем легенду, которая разделила Интернет надвое Миллионы фанатов в соцсетях подозревают: Бритни Спирс заменили двойником. Life.ru разбирает доказательства самой безумной теории заговора 2025 года. ...
Эффект шелковых чулок: разбираем состав депиляторов нового поколения, которые не только удаляют волосы, но и замедляют их рост Узнайте, как добиться идеально гладкой кожи на ногах без раздражения и щетины. Сравнение кремов-депиляторов и бритвы, советы по выбору средств и уходу за кожей. ...
Разбираем Bloodlines 2 с экспертами индустрии: «Чтобы научиться делать игры в других жанрах, нужно съесть несколько пудов соли» Под конец месяца эксперты индустрии вновь собрались в эфире деконстракт-шоу «Что по игре?». На этот раз в центре внимания — Vampire: The Masquerade – Bloodlines 2, которую, несмотря на все проблемы, все равно можно рекомендовать не только для прохождения, но и для изучения с точки зрения гейм-дизайн ...
По стопам Papers, Please. Вместе с авторами Do No Harm, Quarantine Zone, No, I’m not a Human и Static Dread разбираем причину популярности нового трендового жанра За последний год вышло несколько ярких и успешных идейных наследников культовой Papers, Please. О том, с чем связана популярность нового направления и какие при его разработке возникают сложности, — мы поговорили с представителями Darts Games, Brigada Games, Trioskaz и Solarsuit Games. ...
Злоумышленники используют в атаках RCE-уязвимость в 7-Zip NHS England Digital предупреждает об активной эксплуатации уязвимости CVE-2025-11001 в архиваторе 7-Zip. Пользователям рекомендуется срочно обновиться до версии 25.00, выпущенной в июле 2025 года. ...
Уязвимость RMPocalypse компрометирует безопасность AMD SEV-SNP Компания AMD выпустила исправления для уязвимости RMPocalypse, которую можно использовать, чтобы подорвать безопасность конфиденциальных вычислений, обеспечиваемых технологией Secure Encrypted Virtualization with Secure Nested Paging (SEV-SNP). ...
В маршрутизаторах DrayTek патчат RCE-уязвимость Компания DrayTek, производящая сетевое оборудование, выпустила предупреждение об уязвимости, которая затрагивает несколько моделей роутеров Vigor. Проблема позволяет удаленным неаутентифицированным атакующим выполнять произвольный код. ...
Критическая уязвимость в sudo находится под атаками Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило, что хакеры активно эксплуатируют критическую уязвимость (CVE-2025-32463) в утилите sudo, которая позволяет выполнять команды в Linux с привилегиями уровня root. ...
Устаревшее ПО — ключевая уязвимость в организациях России Анализ киберрисков, проведенный компанией «Нейроинформ» за III квартал 2025 г/, показал значительное ухудшение ситуации... ...
Анализ «Информзащиты»: ИИ-код увеличивает уязвимость компаний в 15 раз Программы, созданные с помощью искусственного интеллекта, содержат в 15 раз больше уязвимостей, чем традиционное ПО, особенно в проверке ввода данных и бизнес-логике. Об этом сообщили в Центре мониторинга кибератак компании «Информзащита». Их данные приводят «Известия». Эта технология получила назва ...
RCE-уязвимость в ImunifyAV угрожает миллионам сайтов В сканере ImunifyAV для Linux-серверов, который используют десятки миллионов сайтов, обнаружили уязвимость удаленного выполнения кода. Проблема позволяет скомпрометировать окружение хоста. ...
В Apache Tika исправлена критическая XXE-уязвимость Разработчики предупреждают о критической уязвимости в Apache Tika. Уязвимость получила идентификатор CVE-2025-66516 и 10 баллов из 10 возможных по шкале CVSS. Баг позволяет осуществлять XXE-инъекции через специально подготовленные XFA-файлы внутри PDF. ...
Созданные ИИ программы увеличивают уязвимость компаний в 15 раз Разработанное искусственным интеллектом программное обеспечение увеличивает уязвимость компаний в 15 раз в сравнении с теми, кто пользуется программами, созданными человеком. Об этом сообщили «Известиям» в Центре мониторинга и... ...
Свежая 0-day уязвимость в GoAnywhere MFT уже используется хакерами Эксперты предупреждают, что хакеры активно эксплуатируют критическую уязвимость CVE-2025-10035 в GoAnywhere MFT компании Fortra, раскрытую ранее в этом месяце. Ошибка позволяет удаленно выполнять команды без аутентификации. ...
Microsoft исправила самую серьезную уязвимость в ASP.NET за всю историю На прошлой неделе компания Microsoft закрыла уязвимость ASP.NET Core, получившую 9,9 балла из 10 возможных по шкале CVSS — самый высокий рейтинг серьезности за всю историю таких уязвимостей. ...
В городе создали тест на уязвимость от интернет-мошенников Специалисты Саратовского государственного университета создали уникальную методику, позволяющую определить степень подверженности человека влиянию в цифровой среде.Как сообщили в пресс-службе вуза агентству ТАСС, разработка представляет собой опросник для выявления склонности пользователей без крити ...
В игровом движке Unity нашли серьёзную уязвимость Unity раскрыла серьёзную уязвимость, затрагивающую игры, созданные с помощью её движка начиная с версии 2017.1 для Windows, Android и macOS. Несмотря на отсутствие доказательств использования эксплойта, разработчикам рекомендуется «срочно обновить свои проекты». Согласно записи CVE, уязвимость позво ...
Уязвимость Figma MCP позволяла удаленно выполнить произвольный код Исследователи из компании Imperva раскрыли детали уже исправленной уязвимости в популярном сервере figma-developer-mcp (Model Context Protocol, MCP). Проблема позволяла атакующим удаленно выполнять произвольный код. ...
One step to crit. Раскручиваем уязвимость в платежной логике Для подписчиковВ этой статье я расскажу про кейс с Bug Bounty, в котором мне удалось обойти бизнес‑логику приложения, создавать валидные платежи и списывать деньги клиентов. Я тестировал API одной финансовой организации, у которой есть фонд с личным кабинетом. Основные функции были за авторизацией, ...
Уязвимость в Samba, позволяющая удалённо выполнить код на сервере Опубликованы корректирующие выпуски пакета Samba 4.23.2, 4.22.5 и 4.21.9 с устранением уязвимости (CVE-2025-10230) в реализации сервера разрешения имён WINS, позволяющей добиться удалённого выполнения своего кода на сервере без прохождения аутентификации. Проблеме присвоен наивысший уровень опасност ...
Microsoft исправила уязвимость нулевого дня в ядре Windows На этой неделе компания Microsoft выпустила ноябрьские патчи, устранив 63 уязвимости в своих продуктах. Среди них был баг нулевого дня CVE-2025-62215 в ядре Windows, который уже используется хакерами в реальных атаках. ...
Уязвимость в Notepad++ позволяла распространять вредоносные обновления Разработчики популярного текстового редактора Notepad++ выпустили версию 8.8.9, которая устраняет серьезную проблему в механизме автообновления. О баге стало известно, когда пользователи и исследователи заметили, что система обновлений загружает вредоносные исполняемые файлы вместо легитимных апдейт ...
Microsoft незаметно исправила 0-day-уязвимость, связанную с файлами LNK Эксперты обнаружили, что летом 2025 года компания Microsoft закрыла опасную уязвимость в Windows, которую активно эксплуатировали как минимум 11 хакерских группировок — среди них северокорейские APT и крупные группы вроде Evil Corp. CVE-2025-9491 позволяла злоумышленникам скрывать вредоносные команд ...
Уязвимость Brash выводит из строя Chromium-браузеры Серьезная уязвимость в движке Blink позволяет за считанные секунды вывести из строя многие браузеры на базе Chromium или спровоцировать «падение» всей системы. ИБ-исследователь Хосе Пино (Jose Pino) назвал эту проблему Brash и обнародовал PoC-эксплоит для нее. ...
В движке Unity обнаружили уязвимость восьмилетней давности В игровом движке Unity обнаружили уязвимость, существовавшую с 2017 года. Проблема может использоваться для выполнения кода на Android и для повышения привилегий в Windows. Разработчики Valve уже обновили Steam, а Microsoft — Microsoft Defender и рекомендовали пользователям удалить уязвимые игры, по ...
Неисправленная уязвимость в Gogs привела к компрометации 700 серверов Уязвимость нулевого дня в популярном сервисе для самостоятельного хостинга Git-репозиториев Gogs позволяет злоумышленникам удаленно выполнять произвольный код, что привело к взлому сотен серверов по всему миру. ...
Цифровая уязвимость: как бизнесу отвечать на рост кибератак По данным центра исследования киберугроз Solar 4RAYS группы компаний «Солар», число хакерских группировок, атакующих российский бизнес, увеличилось вдвое в 2025 году. В интервью «Деловой повестке» директор департамента защиты информации и IT-инфраструктуры «Норникеля» Алексей Мартынцев рассказал, ка ...
Уязвимость в Binder, подсистеме ядра Linux, написанной на Rust В вошедшем в состав ядра Linux 6.18 механизме межпроцессного взаимодействия Binder, написанном на языке Rust, устранена уязвимость (CVE-2025-68260). Проблема вызвана состоянием гонки при выполнении операций в блоках unsafe, напрямую работающих с указателями на предыдущий и следующий элементы списка. ...
Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к узлам кластера В платформе OpenShift AI Service, позволяющей организовать работу кластера для выполнения и обучения AI-моделей, выявлена уязвимость (CVE-2025-10725), позволяющая непривилегированному пользователю получить права администратора кластера. После успешной атаки злоумышленник получает возможность управле ...
Airbus устранил уязвимость из-за солнечного излучения на почти 6 тыс. A320 Европейский концерн Airbus обновил программное обеспечение после обнаружения воздействия солнечного излучения на системы управления у почти 6 тыс. самолетов A320. Европейский авиастроительный концерн Airbus устранил уязвимость программного обеспечения, которая возникла из-за воздействия солнечного и ...
Политолог указал на уязвимость текущего момента переговоров по Украине На консолидированную превентивную реакцию «коалиции желающих» на возможный отказ со стороны президента России Владимира Путина принимать усеченную версию «флоридского плана» после совещания с украинской делегацией представителей США Марко Рубио… ...
ECHOMSK.SPB.RU