Для подписчиковНе успели отойти от CVE в n8n, как по сообществу ИИ-разработчиков был нанесен новый мощный удар. На этот раз уязвимость нашли в популярном конструкторе Langflow. Баг позволяет удаленно выполнить команды за один запрос.
Исследователи компании Nebula Security рассказали об уязвимости GhostLock (CVE-2026-43499), обнаруженной в ядре Linux. Этот баг позволяет непривилегированному локальному пользователю повысить права до уровня root и осуществить побег из контейнера. Проблема присутствовала в коде ядра с 2011 года и в результате затрагивает практически все крупные дистрибутивы.
Организаторы Pentest Award продлили прием заявок до 19 июля. Все, кто хотел подать свою работу, получили дополнительную неделю. Pentest Award — ежегодная независимая награда для пентестеров. Основная задача премии — выделить лучших специалистов, показать их вклад в развитие пентеста, а также отметить наиболее интересные исследования и создать площадку для обмена опытом внутри профессионального сообщества.
СМИ сообщают, что трафик абонентов зарубежных операторов, которые подключаются к российским сетям в роуминге, начали фильтровать наравне с обычным мобильным интернетом. В результате иностранные SIM-карты больше не позволяют заходить на сайты и использовать сервисы, заблокированные в РФ.
Разработчики OpenMandriva Linux заявили о попытке внутреннего саботажа, произошедшей после конфликта между участниками проекта. Бывший контрибьютор с административными правами удалил репозитории с GitHub и опубликовал в тестовой ветке пустой пакет, который мог нарушить работу систем пользователей.
Разработчики Microsoft выпустили патч для 0-day-уязвимости RoguePlanet в Microsoft Defender, однако исправление могло создать новую проблему. По словам исследователя Nightmare Eclipse, теперь атакующие могут вынудить Defender записывать на диск огромные файлы, пока свободное место не закончится.
Для подписчиковВеб-панели для администрирования часто закрыты от внешней сети, но после получения SSH-доступа их можно исследовать через туннель и превратить в путь к root. Сегодня я покажу, как это делать, но сначала через SQL-инъекцию вытащим хеши пользователей и подберем пароль для SSH.
По информации «Коммерсанта», представители Минцифры обсуждают с российскими хостинг-провайдерами обязательную идентификацию клиентов через «Госуслуги». Ведомство хочет привязать каждый выделенный IP-адрес к конкретному пользователю с подтвержденной учетной записью. Представители отрасли предупреждают, что новые правила могут вынудить часть клиентов перейти на зарубежные площадки.
Специалисты YesWeHack и Sekoia обнаружили вредоносную кампанию, нацеленную на ИБ-исследователей: злоумышленники публикуют на GitHub поддельные PoC-эксплоиты для свежих уязвимостей. При запуске такие эксплоиты устанавливают в систему жертвы RAT ChocoPoC, который ворует пароли, файлы и данные из браузеров, а затем предоставляет своим операторам удаленный доступ к зараженной машине.