Топ самых интересных CVE за октябрь 2025 года

Всем привет! Закрываем октябрь нашей традиционной подборкой главных CVE месяца. Критической уязвимостью под RCE отметился Redis, проверка концепции в наличии. CVE под произвольный код также исправили в Oracle EBS вместе с уязвимостью под доступ к данным в Oracle Configurator. Критическую уязвимость исправили в Unity — возможность подгрузить вредоносную библиотеку при запуске игр и приложений, и исправление требует перекомпиляции затронутых проектов. А в сервере онлайн-редактора Figma MCP закрыли уязвимость под произвольные команды без проверки подлинности. Об этом и других интересных CVE октября читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/961606/

#cve #vulnerability #vulnerabilities #vulnerability_assessment #vulnerability_scanning #уязвимости #уязвимость_нулевого_дня #уязвимости_и_их_эксплуатация

Топ самых интересных CVE за август 2025 года

Всем привет! Время для нашей ежемесячной подборки ключевых CVE. В августе десяточкой по CVSS отметилась, конечно же, Cisco — в аутентификации через RADIUS в Secure FMC забыли санитизировать пользовательский ввод. В NetScaler ADC и NetScaler Gateway критический нулевой день под RCE через переполнение памяти. Помимо этого, две критических CVE под произвольный код были исправлены в продуктах от Microsoft. В WinRAR закрыли уязвимость на обход пути, активно эксплуатируемую в атаках. Также критическими CVE отметились Trend Micro Apex One, Docker Desktop и FortiWeb. Об этом и других интересных уязвимостях последнего летнего месяца читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/940546/

#cve #vulnerability #vulnerabilities #vulnerability_scanning #vulnerability_assessment #уязвимости #уязвимости_нулевого_дня #уязвимости_и_их_эксплуатация

Топ самых интересных CVE за июль 2025 года

Всем привет! Разбираем ключевые уязвимости июля. В прошлом месяце тон задала контора замечательных людей Cisco: компания отметилась очередным забытым тестовым аккаунтом в Unified CM и SME, а также дырявым API в ISE и ISE-PIC под RCE — обе CVE на 10 из 10. Десяточку под RCE без авторизации также выбил Wing FTP Server, проверка концепции в наличии. Цепочку уязвимостей под удалённое выполнение кода исправили в Microsoft SharePoint Server. Mcp-remote отметился критической CVE под произвольные команды, в CrushFTP критическая уязвимость на доступ к серверу с правами админа, а в FortiWeb — на внедрение SQL-кода. Об этом и других главных уязвимостях июля читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/930362/

#cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_scanning #уязвимости #уязвимости_нулевого_дня #уязвимости_и_их_эксплуатация

Топ самых интересных CVE за июнь 2025 года

Всем привет! Время для разбора ключевых CVE июня. В прошлом месяце прогремела уязвимость в Linux на получение root-прав через UDisks. Также засветилась критическая уязвимость под RCE в Secure Boot. Критическими CVE отметились Cisco ISE, HPE StoreOnce Software, драйверы GPU Adreno от Qualcomm и RoundCube Webmail — последние две под произвольный код. У Asus очередной неловкий момент с кривым ПО: на этот раз захардкоженный ключ в Armoury Crate и возможность повышения привилегий до System. А в WinRar под Windows уязвимость под запись за пределы целевой директории — например, в папку автозагрузки. Обо всём этом и других интересных CVE первого летнего месяца читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/922678/

#cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_scanning #уязвимости #уязвимости_нулевого_дня #уязвимости_и_их_эксплуатация

Топ самых интересных CVE за май 2025 года

Всем привет! Подводим итоги мая по линии самых интересных CVE. Последний весенний месяц выдался жарким: десяточку по CVSS выбили контроллеры Cisco с захардкоженным веб-токеном и Azure DevOps Server на повышение привилегий до System. Критическими уязвимостями также отметились MagicINFO 9 Server от Samsung, продукты от Fortinet с нулевым днём под RCE и очередной плагин для WordPress — OttoKit. Отдельный приз уходит ASUS DriverHub — RCE от ASUS прямиком в BIOS материнок компании. Microsoft в прошлом месяце исправила пять активно эксплуатируемых нулевых дней, а в SysAid закрыли уязвимости под RCE и на доступ к локальным файлам, включая InitAccount.cmd. Об этом и других ключевых CVE мая читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/911948/

#cve #vulnerability #vulnerabilities #vulnerability_assessment #уязвимости #уязвимости_и_их_эксплуатация #уязвимость_нулевого_дня #vulnerability_scanning

Топ самых интересных CVE за апрель 2025 года

Публикуем нашу традиционную подборку ключевых CVE ушедшего месяца. В апреле главным событием стала RCE в SSH-библиотеке Erlang/OTP: десяточка по CVSS, простейший эксплойт, проверки концепции в сети на следующий день. Критической RCE-уязвимостью с нулевой интеракцией также отметился фреймворк PyTorch. Нулевой день на обход MotW исправили в WinRAR; аналогичная уязвимость остаётся без патча в WinZip. В ПО для передачи файлов CrushFTP закрыли критическую CVE на обход аутентификации. Уязвимость под RCE также пропатчили в Gladinet CentreStack. И наконец, нулевым днём под произвольный код отметились и ОС от Apple — причём через обработку аудипотока. Об этом и других интересных CVE апреля читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/903134/

#cve #vulnerability #vulnerability_assessment #vulnerabilities #vulnerability_scanning #уязвимости

Топ самых интересных CVE за март 2025 года

Всем привет! Разбираем самые интересные уязвимости ушедшего месяца. В марте отметилась россыпь RCE: в Veeam Backup & Replication, Apache Tomcat, GraphQL-Ruby, IP-камерах Edimax и продуктах от VMware и Microsoft. Последняя также исправила семь нулевых дней в своём софте, 0-day на выход из песочницы также закрыли в операционках от Apple. Кроме того, во фреймворке js.React исправили критическую уязвимость на обход авторизации, а в библиотеке ruby-saml — на выдачу себя за другого пользователя. Обо всём этом и других ключевых CVE марта читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/891488/

#cve #vulnerability #vulnerabilities #vulnerability_assessment #vulnerability_scanning #уязвимости

Топ самых интересных CVE за февраль 2025 года

Всем привет! Подводим итоги последнего зимнего месяца нашей традиционной подборкой CVE. Январь был богат на уязвимости под произвольный код: их исправили в Ivanti ICS, Veeam Backup и Trimble Cityworks. А в API Cisco ISE закрыли две критических уязвимости на произвольные команды с правами суперпользователя и обход авторизации. PostgreSQL отметилась нулевым днём на внедрение SQL-кода; нулевые дни также исправили в продуктах от Apple и Microsoft. Исправлением нескольких серьёзных CVE на обход аутентификации обзавелись PAN-OS, FortiOS и FortyProxy. А пачка устройств от Zyxel серии CPE остались без исправления открытого доступа к ним. Обо всём этом и других интересных уязвимостях февраля читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/885300/

#cve #vulnerability #vulnerabilities #vulnerability_assessment #vulnerability_scanning #уязвимости

Топ самых интересных CVE за январь 2025 года

Всем привет! Подводим итоги первого месяца года подборкой ключевых уязвимостей. Январь выдался довольно тихим, но отметился CVE в архиваторе 7-Zip на обход механизма Mark of the Web. В продуктах Apple исправили первый нулевой день года на повышение привилегий в системе. Microsoft также исправила восемь нулевых дней в своих решениях. Критические уязвимости закрыли в Cisco Meeting Management и шлюзах SonicWall SMA 1000 — на повышение привилегий до админа и произвольные команды соответственно. А в Ivanti Connect Secure пропатчили уязвимость под RCE. Об этом и других интересных CVE января читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/875640/

#cve #vulnerabilities #vulnerability #vulnerability_assessment #vulnerability_scanning #уязвимости

Топ самых интересных CVE за декабрь 2024 года

Декабрь ушёл в прошлое, а уязвимости остались. Особенно на непатченных системах. Так что давайте подводить итоги последнего месяца года ключевыми уязвимостями, оставшимися нам на память о 2024-м. Десяточкой по CVSS и ещё полудюжиной критических уязвимостей отметились продукты Apache. Критические CVE также были справлены в Sophos Firewall, включая две под RCE. Патчевый вторник принёс исправление нулевого дня на повышение привилегий в драйвере Windows. Серьёзные уязвимости также пропатчили в Mitel MiCollab, Adobe ColdFusion , софте для удалённого доступа от BeyondTrust, ОС от OpenWRT и PAN-OS. Об этом и других интересных CVE декабря читайте под катом!

https://habr.com/ru/companies/tomhunter/articles/870432/

#cve #vulnerability #vulnerabilities #vulnerability_assessment #vulnerability_scanning #уязвимости