Не root-доступ и не взлом — но графику уже меняют Nintendo Switch 2 только появилась в продаже, а исследователи уже нашли в ней первую уязвимость. Эксплойт обнаружил специалист по безопасности Дэвид Бьюкенен — он использует слабое место в общей библиотеке системы, позволяя изменить поведение программ без доступа к ядру. В качестве демонстрации он заставил консоль […]

Одна команда — и все данные исчезают без следа Смартфоны Ulefone и Krüger&Matz оказались уязвимы из-за критических ошибок в предустановленном ПО. Эти баги позволяют любому приложению выполнить сброс до заводских настроек или получить доступ к функциям шифрования — без рута и ведома пользователя. Идентификаторы уязвимостей: CVE-2024-13915 и CVE-2024-13916 (оценка 6,9 по CVSS), а также наиболее […]

MediaTek раскрыла уязвимости в своих чипсетах MediaTek опубликовала новый бюллетень безопасности, в котором сообщила о серии уязвимостей, затрагивающих широкий спектр устройств: от смартфонов и планшетов до AIoT-гаджетов, ТВ и аудиосистем. Производители были заранее предупреждены и получили обновления минимум за два месяца до публикации. Критическая уязвимость CVE-2025-20672, связанная с переполнением кучи в Bluetooth-модуле, получила 9.8 баллов […]

Просто введите «notfound» — и чужой Wi-Fi ваш. Одна из самых опасных уязвимостей 2025 года — CVE-2025-20188 — поражает беспроводные контроллеры Cisco на базе IOS XE. Horizon3 опубликовали технический разбор, который хоть и не содержит готового эксплойта, но даёт достаточно деталей, чтобы создать рабочую атаку. Ошибка, раскрытая Cisco 7 мая, позволяет удалённому злоумышленнику без авторизации […]

Популярный WordPress-плагин превратил интернет-магазины в открытую дверь Более 100 тысяч сайтов на WordPress оказались под угрозой из-за критической уязвимости (CVE-2025-47577, CVSS 10/10) в плагине TI WooCommerce Wishlist. По данным PatchStack, баг позволяет загружать на сервер любые файлы, включая вредоносные скрипты, и получать полный доступ к управлению сайтом. Уязвимость прячется в связке с плагином WC Fields […]

Гость не успел сказать «добрый вечер», а хакеры уже всё о нём знают Индустрия гостеприимства превратилась в рай для киберпреступников из-за катастрофически слабых паролей, защищающих критически важные системы. Новое исследование NordPass показало масштабы проблемы: отели, рестораны и сервисные компании по всему миру игнорируют базовые принципы информационной безопасности, подвергая риску данные гостей и бизнес-процессы. В системах […]

Сначала CVE, потом KEV — теперь LEV. Кто следующий? NIST представил новый инструмент для оценки вероятности эксплуатации уязвимостей — уравнение LEV (Likely Exploited Vulnerabilities). Оно помогает определить, насколько вероятно, что уязвимость уже была использована, даже если об этом ещё нет подтверждённых данных. LEV дополняет существующие инструменты, такие как каталог эксплуатируемых уязвимостей KEV от CISA, и […]

Премия $150 000 и исторический взлом гипервизора VMware на Pwn2Own На хакерском турнире Pwn2Own в Берлине впервые с 2007 года удалось успешно взломать гипервизор VMware ESXi с использованием уязвимости нулевого дня. Автором эксплойта стал Нгуен Хоанг Тач из команды STARLabs SG, использовавший уязвимость переполнения целого числа. За атаку он получил $150 000 и 15 очков […]

20 компаний из Fortune 500 уже пострадали — остальные просто ещё не проверяли логи. Исследователи Vedere Labs из Forescout связали масштабную атаку на SAP NetWeaver с китайской хак-группой Chaya_004. Уязвимость CVE-2025-31324 позволяет загружать вредоносные файлы на сервер без авторизации и выполнять произвольный код. SAP выпустила срочное обновление 24 апреля, но уязвимость уже использовалась задолго до […]

Цепочка из трёх уязвимостей SonicWall позволяет получить root и перехватить управление VPN-системой. SonicWall устранила три критические уязвимости в устройствах удалённого доступа SMA 100, которые позволяли злоумышленникам выполнять произвольный код от имени root. Поскольку эти устройства широко используются для организации корпоративного VPN-доступа, риски признаны серьёзными. Самой опасной стала уязвимость CVE-2025-32819 (оценка 8.8 по CVSS), позволяющая пользователю […]