Zero-day уязвимость CVE-2025-64446 УЖЕ эксплуатируется хакерами в реальных атаках.
Path Traversal → чтение любых файлов системы → удалённое выполнение кода
⚠️ Если у вас FortiWeb — вы под ударом ПРЯМО СЕЙЧАС
— Накатить патч немедленно
— Закрыть админку от внешнего доступа
— Проверить логи на следы взлома
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
👾8❤2⚡2🥰1
🚨 WordPress плагин с бесплатными донатами
Уязвимость CVE-2025-13384 позволяет подделать любой платёж БЕЗ ДЕНЕГ. Фейковый IPN запрос → заявка помечена как «оплачена» → атакующий получает доступ/услугу бесплатно
⚠️ Кто под ударом:
CP Contact Form with PayPal (≤ 1.3.56) — плагин для форм с приёмом платежей
🔴 Почему это работает:
— Нет проверки PayPal IPN подписи
— Нет аутентификации запросов
— Любой может отправить POST на
— Система считает что деньги пришли
🎥 Что под угрозой:
— Donation формы (пожертвования)
— Payment формы (оплата услуг)
— Registration формы (регистрация с оплатой)
— Любые submission помечаются как paid
🎥 Что делать:
— Обновить плагин до версии 1.3.57+
— Через Dashboard → Plugins → Update
— Проверить логи на подозрительные IPN запросы
— Сверить платежи в PayPal с заявками на сайте
🔗 Обновить плагин
🔗 Детали уязвимости
🔹 ML для старта в Data Science
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib
🐸 Библиотека хакера
#cve_bulletin
Уязвимость CVE-2025-13384 позволяет подделать любой платёж БЕЗ ДЕНЕГ. Фейковый IPN запрос → заявка помечена как «оплачена» → атакующий получает доступ/услугу бесплатно
⚠️ Кто под ударом:
CP Contact Form with PayPal (≤ 1.3.56) — плагин для форм с приёмом платежей
— Нет проверки PayPal IPN подписи
— Нет аутентификации запросов
— Любой может отправить POST на
/cp_contactformpp_ipncheck— Система считает что деньги пришли
— Donation формы (пожертвования)
— Payment формы (оплата услуг)
— Registration формы (регистрация с оплатой)
— Любые submission помечаются как paid
— Обновить плагин до версии 1.3.57+
— Через Dashboard → Plugins → Update
— Проверить логи на подозрительные IPN запросы
— Сверить платежи в PayPal с заявками на сайте
🔹 ML для старта в Data Science
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰4👍1
⚠️ OpenPLC ScadaBR — XSS, подтверждённая эксплуатация
CISA официально добавила уязвимость в каталог Known Exploited Vulnerabilities (KEV) — то есть хакеры уже используют её в реальных атаках на SCADA-системы.
Что важно знать:
➡️ Затрагиваемые версии:
— OpenPLC ScadaBR до 1.12.4 (Windows)
— ScadaBR до 0.9.1 (Linux)
➡️ Контекст: уязвимость эксплуатируется в среде ICS/OT — там, где каждая панель, насос или контроллер реально управляют физическими процессами.
➡️ Риски: XSS в SCADA — это не про всплывашку в браузере. Это про возможность подменить показания, внедрить вредоносный JS и получить точку входа в автоматизацию.
🔗 Читать подробнее
🐸 Библиотека хакера
#cve_bulletin
CISA официально добавила уязвимость в каталог Known Exploited Vulnerabilities (KEV) — то есть хакеры уже используют её в реальных атаках на SCADA-системы.
Что важно знать:
— OpenPLC ScadaBR до 1.12.4 (Windows)
— ScadaBR до 0.9.1 (Linux)
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🥰2