Для подписчиковСегодня разберем недавно найденный баг в WordPress и напишем собственный эксплоит на Python. Уязвимость содержится в copypress-rest-api, позволяет обходить запрет на скачивание плагина из каталога WP и добиваться возможности исполнения команд. Она получила номер CVE-2025-8625 и критический статус.
Зима близко, но бейсболки «Хакера» актуальны круглый год. Четыре модели с объемной вышивкой и удобной посадкой ждут своих владельцев. Работаешь в темном режиме? Оденься под стать.
Команда безопасности Redis выпустила патчи для критической уязвимости, которая позволяет атакующим осуществлять удаленное выполнение произвольного кода. Проблема присутствовала в коде около 13 лет.
Представители Роскомнадзора (РКН) сообщили, что все владельцы каналов в Telegram, аудитория которых превышает 10 000 человек, должны добавить в канал бота trustchannelbot и дать ему права администратора. В ведомстве заявляют, что это единственный способ подтвердить владение каналом.
Хакеры похитили платежную информацию и персональные данные (включая настоящие имена и удостоверения личности) некоторых пользователей Discord. Атака произошла 20 сентября 2025 года и связана со взломом стороннего поставщика, предоставляющего компании услуги клиентской поддержки.
Исследователи рассказали об атаке CometJacking, которая эксплуатирует параметры URL для передачи ИИ-браузеру Comet от Perplexity скрытых инструкций. Атака позволяет получить доступ к конфиденциальным данным из подключенных сервисов, включая электронную почту и календарь.
Для подписчиковСегодня я покажу, как использовать привилегию SeManageVolume для получения «золотого сертификата» и захвата домена на Windows. Перед этим нас ждет череда других уязвимостей: мы загрузим склеенные ZIP-архивы на сайт, чтобы обойти фильтр, получим шелл, вытащим учетки из базы данных, проанализируем трафик для атаки на Kerberos и применим технику ESC3 AD CS.
В игровом движке Unity обнаружили уязвимость, существовавшую с 2017 года. Проблема может использоваться для выполнения кода на Android и для повышения привилегий в Windows. Разработчики Valve уже обновили Steam, а Microsoft — Microsoft Defender и рекомендовали пользователям удалить уязвимые игры, пока они не получат патчи.
Для подписчиковПрошивки сетевого оборудования нередко скрывают баги, поэтому их diff-анализ остается основным способом найти уязвимости и потенциальные точки для RCE. В сегодняшней статье я покажу общие техники и методы, которые применяю на практике при анализе 1-day-уязвимостей роутеров, файрволов и других подобных сетевых устройств.