Топ самых интересных CVE за апрель 2025 года

Публикуем нашу традиционную подборку ключевых CVE ушедшего месяца. В апреле главным событием стала RCE в SSH-библиотеке Erlang/OTP: десяточка по CVSS, простейший эксплойт, проверки концепции в сети на следующий день. Критической RCE-уязвимостью с нулевой интеракцией также отметился фреймворк PyTorch. Нулевой день на обход MotW исправили в WinRAR; аналогичная уязвимость остаётся без патча в WinZip. В ПО для передачи файлов CrushFTP закрыли критическую CVE на обход аутентификации. Уязвимость под RCE также пропатчили в Gladinet CentreStack. И наконец, нулевым днём под произвольный код отметились и ОС от Apple — причём через обработку аудипотока. Об этом и других интересных CVE апреля читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/903134/

#cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_scanning #уязвимости

Топ самых интересных CVE за март 2025 года

Всем привет! Разбираем самые интересные уязвимости ушедшего месяца. В марте отметилась россыпь RCE: в Veeam Backup & Replication, Apache Tomcat, GraphQL-Ruby, IP-камерах Edimax и продуктах от VMware и Microsoft. Последняя также исправила семь нулевых дней в своём софте, 0-day на выход из песочницы также закрыли в операционках от Apple. Кроме того, во фреймворке js.React исправили критическую уязвимость на обход авторизации, а в библиотеке ruby-saml — на выдачу себя за другого пользователя. Обо всём этом и других ключевых CVE марта читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/891488/

#cve #vulnerability #vulnerabilities #vulnerability_assessment #vulnerability_scanning #уязвимости

Топ самых интересных CVE за февраль 2025 года

Всем привет! Подводим итоги последнего зимнего месяца нашей традиционной подборкой CVE. Январь был богат на уязвимости под произвольный код: их исправили в Ivanti ICS, Veeam Backup и Trimble Cityworks. А в API Cisco ISE закрыли две критических уязвимости на произвольные команды с правами суперпользователя и обход авторизации. PostgreSQL отметилась нулевым днём на внедрение SQL-кода; нулевые дни также исправили в продуктах от Apple и Microsoft. Исправлением нескольких серьёзных CVE на обход аутентификации обзавелись PAN-OS, FortiOS и FortyProxy. А пачка устройств от Zyxel серии CPE остались без исправления открытого доступа к ним. Обо всём этом и других интересных уязвимостях февраля читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/885300/

#cve #vulnerability #vulnerabilities #vulnerability_assessment #vulnerability_scanning #уязвимости

Топ самых интересных CVE за январь 2025 года

Всем привет! Подводим итоги первого месяца года подборкой ключевых уязвимостей. Январь выдался довольно тихим, но отметился CVE в архиваторе 7-Zip на обход механизма Mark of the Web. В продуктах Apple исправили первый нулевой день года на повышение привилегий в системе. Microsoft также исправила восемь нулевых дней в своих решениях. Критические уязвимости закрыли в Cisco Meeting Management и шлюзах SonicWall SMA 1000 — на повышение привилегий до админа и произвольные команды соответственно. А в Ivanti Connect Secure пропатчили уязвимость под RCE. Об этом и других интересных CVE января читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/875640/

#cve #vulnerabilities #vulnerability #vulnerability_assessment #vulnerability_scanning #уязвимости

Топ самых интересных CVE за декабрь 2024 года

Декабрь ушёл в прошлое, а уязвимости остались. Особенно на непатченных системах. Так что давайте подводить итоги последнего месяца года ключевыми уязвимостями, оставшимися нам на память о 2024-м. Десяточкой по CVSS и ещё полудюжиной критических уязвимостей отметились продукты Apache. Критические CVE также были справлены в Sophos Firewall, включая две под RCE. Патчевый вторник принёс исправление нулевого дня на повышение привилегий в драйвере Windows. Серьёзные уязвимости также пропатчили в Mitel MiCollab, Adobe ColdFusion , софте для удалённого доступа от BeyondTrust, ОС от OpenWRT и PAN-OS. Об этом и других интересных CVE декабря читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/870432/

#cve #vulnerability #vulnerabilities #vulnerability_assessment #vulnerability_scanning #уязвимости

Топ самых интересных CVE за октябрь 2024 года

Всем привет! Это наша традиционная подборка самых интересных CVE ушедшего месяца. В октябре десяточку по CVSS выбил Zimbra — в сервере RCE от неаутентифицированных злоумышленников с несложным эксплойтом и проверкой концепции. Помимо этого, месяц отметился многочисленными критическими уязвимостями. В Kubernetes Image Builder учётка по умолчанию с доступом к виртуалкам. В GitLab EE очередной эксплойт под запуск pipeline jobs произвольными юзерами. В одном API FortiManager отсутствует аутентификация, а в Firefox исправили Use-After-Free — обе под произвольный код. А также у нас куча исправленных Microsoft уязвимостей, несколько с активным эксплойтом и под RCE. Об этом и других ключевых CVE октября читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/852170/

#cve #vulnerability #vulnerability_assessment #vulnerability_scanning #vulnerabilities #vulnerability_research #information_security #уязвимости #анализ_уязвимостей #пентест

Топ самых интересных CVE за сентябрь 2024 года

Всем привет!Подводим итоги сентября нашей подборкой самых интересных CVE. Так, первый осенний месяц принёс исправления пяти нулевых дней в продуктах от Microsoft, которые активно эксплойтят в сетевых дебрях. Десяточкой по CVSS отметились уязвимости в FreeBSD под RCE и в Progress LoadMaster под выполнение команд. В GitLab CE/EE снова нашли CVE под неавторизированный запуск pipeline jobs. Уязвимостями под произвольный код также отметились VMware vCenter Server, SolarWinds ARM, EPM от Ivanti и Adobe Acrobat Reader. Об этом и других серьёзных уязвимостях сентября читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/844650/

#cve #vulnerability #vulnerabilities #vulnerability_assessment #vulnerability_scanning #vulnerability_research #information_security #пентест #уязвимости #анализ_уязвимостей

Топ самых интересных CVE за август 2024 года

Всем привет! Публикуем нашу традиционную подборку самых интересных CVE ушедшего месяца. В августе десяткой по CVSS отметился плагин GiveWP для WordPress под удалённый код от неавторизированных злоумышленников, а 9.8 выбил LiteSpeed Cache со слабым алгоритмом хеширования. Месяц был богат на критические уязвимости: в GitHub Enterprise Server и SAP BusinessObjects исправили обход аутентификации, а в OpenVPN обнаружили сразу четыре уязвимости под RCE и LPE, две из них — на 9.8 баллов. Россыпь уязвимостей, эксплуатируемых злоумышленниками, была исправлена в продуктах от Microsoft, включая нашумевшую CVE-2024-38063 в IPv6. Об этом и других интересных уязвимостях августа читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/838572/

#cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_scanning #vulnerability_research #information_security #пентест #уязвимости #анализ_уязвимостей

Топ самых интересных CVE за июль 2024 года

Всем привет! Подводим итоги июля дайджестом самых интересных CVE прошлого месяца. В Telegram была закрыта уязвимость, позволявшая загружать вредоносные .apk под видом видеофайлов. Июль был богат на нулевые дни в Gogs: в популярном Git-сервисе три критических бага, пока не получивших патчей. В OpenSSH исправили две RCE-уязвимости, а в GitLab CE/EE — критическую на запуск pipeline jobs произвольным пользователем. Десяточкой по CVSS отметилась уязвимость в системе аутентификации Cisco SSM On-Prem, позволяющая злоумышленнику менять пароли в системе вплоть до администраторов. Максимальный рейтинг также получила CVE на обход плагина авторизации в Docker Engine. Об этом и других интересных уязвимостях ушедшего месяца читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/828932/

#cve #vulnerability #vulnerabilities #vulnerability_scanning #vulnerability_research #vulnerability_assessment #information_security #пентест #уязвимости #анализ_защищенности

Топ самых интересных CVE за июнь 2024 года

Всем привет! Подводим итоги июня подборкой самых интересных CVE месяца. Так, в PHP обнаружили критическую уязвимость, позволяющую неавторизованному злоумышленнику выполнять произвольный код под Windows на определённых локалях. RCE под последнюю также засветилась в драйвере Wi-Fi, сделав подключение к общедоступным сетям ещё менее желательным. Пользователи MOVEit Transfer ещё не отошли от приключений с Cl0p, а в софте два новых критических бага на обход аутентификации. Уязвимость такого же типа затронула маршрутизаторы от ASUS. А в роутерах D-Link всплыл тестовый бэкдор. Июнь также принёс россыпь уязвимостей в продуктах от Apple и VMware и многое другое. За подробностями добро пожаловать под кат!

https://habr.com/ru/companies/tomhunter/articles/824316/

#cve #vulnerability #vulnerabilities #vulnerability_scanning #vulnerability_research #vulnerability_assessment #information_security #пентест #уязвимости #анализ_защищенности

Топ самых интересных CVE за апрель 2024 года

Всем привет! Это наша традиционная подборка самых интересных CVE прошлого месяца. В апреле десяточками по CVSS отметились уязвимости на внедрение команд в ПО для анализа сетевого трафика Flowmon и PAN-OS. Как обычно, всплыли несколько критических уязвимостей в плагинах для Wordpress. Внимания заслуживают также нулевой день в межсетевых экранах от Cisco на отказ в обслуживании, уязвимости в продуктах Splunk и RCE в десктопном приложении Telegram — с маленькой опечаткой в коде в качестве напоминания, что лучше пользоваться веб-версией. За подробностями добро пожаловать под кат!

https://habr.com/ru/companies/tomhunter/articles/810057/

#cve #пентест #information_security #vulnerability #vulnerability_scanning #vulnerability_assessment #анализ_защищенности #уязвимости #уязвимости_и_их_эксплуатация #пентестинг

Топ самых интересных CVE за март 2024 года

Всем привет! Подводим итоги марта топом самых интересных CVE. Гвоздём программы ушедшего месяца, конечно же, стал бэкдор в XZ Utils, наделавший шуму в Linux-сообществе. Десятку по CVSS также выбила уязвимость в Atlassian Bamboo Data Center и Server на внедрение SQL-кода. Оригинальной уязвимостью отметились RFID-замки от Saflok: 3 миллиона замков в 13 тысяч отелей и домов по всему миру вскрываются парой поддельных карт. Помимо этого, март принёс критические уязвимости в гипервизорах VMware, NextChat и FileCatalyst, а также очередную вариацию Spectre v1. Об этом и других интересных уязвимостях прошлого месяца читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/802699/

#пентест #cve #информационная_безопасность #information_security #уязвимости #анализ_защищенности #vulnerability #vulnerabilities #vulnerability_assessment #vulnerability_scanning

Топ самых интересных CVE за февраль 2024 года

Всем привет. Подводим итоги последнего зимнего месяца подборкой самых интересных CVE. В феврале засветилась выбившая десяточку уязвимость на обход аутентификации в софте ConnectWise ScreenConnect. Также отметилась критическая уязвимость в плагине Bricks Builder для WordPress, активный эксплойт которой шёл в феврале. Несколькими критическими уязвимостями смогли похвастаться продукты от Microsoft, включая RCE в Outlook и повышение привилегий на Exchange Server. А CMS Joomla выбила сразу пять XSS-уязвимостей за месяц. Об этом и других интересных CVE февраля читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/796637/

#пентест #cve #информационная_безопасность #information_security #уязвимости #анализ_защищенности #vulnerability #vulnerabilities #vulnerability_assessment #vulnerability_scanning

Топ самых интересных CVE за январь 2024 года

Всем привет! Первый месяц года выдался богатым на любопытные CVE. Так, шуму наделала критическая уязвимость в Jenkins, к которой быстро опубликовали ворох эксплойтов. Также засветились CVE на GitLab на запись произвольных файлов и RCE в продуктах Cisco с потенциальным root-доступом. Критическими уязвимостями отметился GitHub Enterprise Server, и, конечно же, не обошлось без экстренного исправления россыпи багов в Google Chrome. Об этом и других интересных CVE января читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/789306/

#пентест #cve #уязвимости #информационная_безопасность #анализ_защищенности #vulnerability #vulnerabilities #vulnerability_assessment #vulnerability_scanning #vulnerability_research

Топ самых интересных CVE за декабрь 2023 года

Всем привет! По следам ушедшего года публикуем подборку самых интересных CVE за последний месяц 2023-го. В декабре засветился ворох уязвимостей в Chrome и Firefox, вынудивших компании выпускать экстренные патчи. А также критические уязвимости в OpenSSH, фреймворке Apache Struts и маршрутизаторе Netgear. Об этом и других любопытных CVE прошлого месяца читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/785210/

#пентест #cve #уязвимости #информационная_безопасность #анализ_защищенности #vulnerability #vulnerability_assessment #vulnerability_scanning #vulnerability_research

Топ самых интересных CVE за ноябрь 2023 года

В этой подборке представлены самые интересные уязвимости за ноябрь 2023 года. Подведем вместе итоги последнего месяца осени, поехали!

https://habr.com/ru/companies/tomhunter/articles/777192/

#пентест #cve #информационная_безопасность #анализ_защищенности #уязвимости #vulnerability #vulnerability_assessment #vulnerability_scanning #vulnerability_research