Специалист PT SWARM Сергей Близнюк обнаружил уязвимость CVE-2025-47955, затрагивавшую 37 продуктов Microsoft. Уязвимость позволяла локально повысить привилегии до максимальных для дальнейшего продвижения в сети жертвы.
Утром 28 июля 2025 года представители «Аэрофлота» сообщили, что в работе информационных систем авиакомпании произошел сбой. На данный момент это привело к отмене 49 рейсов из Москвы. Хак-группы «Киберпартизаны BY» и Silent Crow заявили, что это они атаковали «Аэрофлот» и «полностью скомпрометировали и уничтожили внутреннюю IT-инфраструктуру» компании.
В середине июня 2025 года разработчики PyPI обнаружили активность, которую сочли масштабной вредоносной кампанией. Так как она была связана с email-адресами на inbox[.]ru, для таких ящиков заблокировали все новые регистрации и добавления. Как выяснилось теперь, за этими действиями стояли специалисты по безопасности из компании Mail.ru (VK), которой принадлежит inbox[.]ru.
Для подписчиковСегодня я покажу, как при помощи инъекции кода на языке Cypher можно атаковать графовую базу данных Neo4j и обойти авторизацию. Затем мы проведем инъекцию команд ОС и получим сессию на хосте, а собрав учетные данные, сменим пользовательскую сессию и повысим привилегии через регистрацию своего модуля для BBOT.
Камеры наблюдения LG уязвимы для удаленных атак из-за недавно обнаруженной уязвимости. Однако стало известно, что они не получат исправлений.
Более 200 000 сайтов под управлением WordPress используют уязвимую версию плагина Post SMTP, которая позволяет захватить контроль над учетной записью администратора.
Специалисты «Лаборатории Касперского» изучили активность группировки FunkSec, которая появилась в конце 2024 года. Основными особенностями группы оказались: применение инструментов на основе ИИ (в том числе при разработке шифровальщика), высокая степень адаптивности и массовость кибератак.
Основателя пиратского стримингового сервиса Jetflicks Кристофера Даллманна (Kristopher Dallmann) приговорили к семи годам лишения свободы. Даллманн так и не признал себя виновным по нескольким пунктам обвинения, включая сговор, нарушение авторских прав и отмывание денег.
В российской системе видеоконференцсвязи VINTEO исправили критическую RCE-уязвимость, которая возникла из-за особенности реализации компонента с недостаточной фильтрацией пользовательских данных.