Microsoft обнаружила атаку, позволяющую определять темы разговоров с AI, даже если трафик зашифрован HTTPS.
Атакующий анализирует размеры пакетов и временные интервалы при стриминге ответов — классификатор определяет тему с точностью >98% для моделей Mistral, xAI, DeepSeek и OpenAI.
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚5👍3👏1
Критическая дыра в связке Rust + OpenSSL. Use-after-free при обработке SSL-объектов → потенциальный RCE. Затрагивает проекты с bpfman и старыми версиями openssl.
Фикс: обновить crate openssl и bpfman. Проверить зависимости в CI/CD.
Цепочка уязвимостей: command injection + buffer overflow в прошивках. RCE с системными правами или DoS. Активной эксплуатации пока нет, но дело времени.
Фикс: обновить прошивки, закрыть админки извне, включить логи.
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍2
Zero-day уязвимость CVE-2025-64446 УЖЕ эксплуатируется хакерами в реальных атаках.
Path Traversal → чтение любых файлов системы → удалённое выполнение кода
⚠️ Если у вас FortiWeb — вы под ударом ПРЯМО СЕЙЧАС
— Накатить патч немедленно
— Закрыть админку от внешнего доступа
— Проверить логи на следы взлома
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
👾8❤2⚡2🥰1
🚨 WordPress плагин с бесплатными донатами
Уязвимость CVE-2025-13384 позволяет подделать любой платёж БЕЗ ДЕНЕГ. Фейковый IPN запрос → заявка помечена как «оплачена» → атакующий получает доступ/услугу бесплатно
⚠️ Кто под ударом:
CP Contact Form with PayPal (≤ 1.3.56) — плагин для форм с приёмом платежей
🔴 Почему это работает:
— Нет проверки PayPal IPN подписи
— Нет аутентификации запросов
— Любой может отправить POST на
— Система считает что деньги пришли
🎥 Что под угрозой:
— Donation формы (пожертвования)
— Payment формы (оплата услуг)
— Registration формы (регистрация с оплатой)
— Любые submission помечаются как paid
🎥 Что делать:
— Обновить плагин до версии 1.3.57+
— Через Dashboard → Plugins → Update
— Проверить логи на подозрительные IPN запросы
— Сверить платежи в PayPal с заявками на сайте
🔗 Обновить плагин
🔗 Детали уязвимости
🔹 ML для старта в Data Science
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib
🐸 Библиотека хакера
#cve_bulletin
Уязвимость CVE-2025-13384 позволяет подделать любой платёж БЕЗ ДЕНЕГ. Фейковый IPN запрос → заявка помечена как «оплачена» → атакующий получает доступ/услугу бесплатно
⚠️ Кто под ударом:
CP Contact Form with PayPal (≤ 1.3.56) — плагин для форм с приёмом платежей
— Нет проверки PayPal IPN подписи
— Нет аутентификации запросов
— Любой может отправить POST на
/cp_contactformpp_ipncheck— Система считает что деньги пришли
— Donation формы (пожертвования)
— Payment формы (оплата услуг)
— Registration формы (регистрация с оплатой)
— Любые submission помечаются как paid
— Обновить плагин до версии 1.3.57+
— Через Dashboard → Plugins → Update
— Проверить логи на подозрительные IPN запросы
— Сверить платежи в PayPal с заявками на сайте
🔹 ML для старта в Data Science
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰4👍1
⚠️ OpenPLC ScadaBR — XSS, подтверждённая эксплуатация
CISA официально добавила уязвимость в каталог Known Exploited Vulnerabilities (KEV) — то есть хакеры уже используют её в реальных атаках на SCADA-системы.
Что важно знать:
➡️ Затрагиваемые версии:
— OpenPLC ScadaBR до 1.12.4 (Windows)
— ScadaBR до 0.9.1 (Linux)
➡️ Контекст: уязвимость эксплуатируется в среде ICS/OT — там, где каждая панель, насос или контроллер реально управляют физическими процессами.
➡️ Риски: XSS в SCADA — это не про всплывашку в браузере. Это про возможность подменить показания, внедрить вредоносный JS и получить точку входа в автоматизацию.
🔗 Читать подробнее
🐸 Библиотека хакера
#cve_bulletin
CISA официально добавила уязвимость в каталог Known Exploited Vulnerabilities (KEV) — то есть хакеры уже используют её в реальных атаках на SCADA-системы.
Что важно знать:
— OpenPLC ScadaBR до 1.12.4 (Windows)
— ScadaBR до 0.9.1 (Linux)
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🥰2
В начале месяца индустрия столкнулась с одной из самых серьёзных уязвимостей года — React2Shell. Ошибка в серверных компонентах React (RSC) открывала возможность удалённого выполнения кода без аутентификации — фактически полный контроль над сервером приложения.
Фреймворки и инструменты, использующие RSC:
• Next.js
• React Router
• Waku
• Vite RSC
• Parcel RSC
• кастомные RSC-решения
Уязвимые версии React: 19.0.0–19.2.0.
Степень угрозы: CVSS 10.0.
— разработчики массово обновляли зависимости
— компании запускали сканирование продакшена
— вендоры публиковали технические рекомендации и патчи
— уязвимость включили в списки критических угроз, требующих немедленных мер
Почитать
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍1