Для подписчиковСегодня я покажу типичный случай эксплуатации двух распространенных веб‑уязвимостей — XSS (межсайтовый скриптинг) и LFI (локальное включение файлов). Примером нам послужит уязвимая форма обработки файлов в формате Markdown, а затем получим исходные коды мониторинга и сделаем себе веб‑шелл в привилегированном контексте.
Разработчики Veeam патчат критическую уязвимость удаленного выполнения кода (CVE-2025-23120) в Backup & Replication. Проблема затрагивает domain-joined установки.
Компания Operation Zero, которая позиционирует себя как российская платформа, занимающаяся приобретением и продажей 0-day эксплоитов для российского правительства и местных компаний, объявила, что ищет эксплоиты для мессенджера Telegram и готова предложить за них до 4 млн долларов США.
Издание «Русбейс» сообщает, что за последнюю неделю Роскомнадзор направил компании Google запросы на удаление десятков VPN-сервисов из магазина Google Play. По данным издания, некоторые из этих VPN используют инфраструктуру Cloudflare.
Для подписчиковЭто двадцать первая глава приключенческо‑фантастической истории «Хакеры.RU». Каждую субботу мы публикуем по одной главе специально для подписчиков «Хакера». Если ты еще не читаешь, начинай с первой!
По данным Trend Micro Zero Day Initiative (ZDI), не менее 11 «правительственных» хак-групп использовали ранее неизвестную уязвимость нулевого дня в Windows для кражи данных и кибершпионажа.
СМИ сообщили, что подведомственный Роскомнадзору Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) в ближайший месяц проведет исследование зависимости российских сервисов от зарубежной инфраструктуры.
Вышла первая в этом году версия Kali Linux (2025.1a). В новом релизе добавился один новый инструмент, обновилась тема и появились другие полезные изменения.
Компания Amazon сообщила, что отказывается от использования не слишком популярной опции конфиденциальности, которая позволяла пользователям умных колонок Echo не отправлять голосовые запросы в облако компании.