Available now! Telegram Research 2025 — the year's key insights 
0day Alert
Open in Telegram
Заявление в РКН № 7218246762. Анализируем и делимся новейшими уязвимостями в ПО и системах, предоставляя рекомендации по их устранению.
Show more📈 Analytical overview of Telegram channel 0day Alert
Channel 0day Alert (@zerodayalert) in the Russian language segment is an active participant. Currently, the community unites 11 198 subscribers, ranking 11 085 in the Technologies & Applications category and 58 380 in the Russia region.
📊 Audience metrics and dynamics
Since its creation on невідомо, the project has demonstrated rapid growth, gathering an audience of 11 198 subscribers.
According to the latest data from 14 June, 2026, the channel demonstrates stable activity. Although there has been a change in the number of participants by -20 over the last 30 days and by -8 over the last 24 hours, overall reach remains high.
- Verification status: Not verified
- Engagement rate (ER): The average audience engagement rate is 25.67%. Within the first 24 hours after publication, content typically collects 20.98% reactions from the total number of subscribers.
- Post reach: On average, each post receives 2 888 views. Within the first day, a publication typically gains 2 360 views.
- Reactions and interaction: The audience actively supports content: the average number of reactions per post is 8.
- Thematic interests: Content is focused on key topics such as cve-2025, microsoft, исправление, zero, хакер.
📝 Description and content policy
The author describes the resource as a platform for expressing subjective opinions:
“Заявление в РКН № 7218246762. Анализируем и делимся новейшими уязвимостями в ПО и системах, предоставляя рекомендации по их устранению.”
Thanks to the high frequency of updates (latest data received on 15 June, 2026), the channel maintains relevance and a high level of publication reach. Analytics show that the audience actively interacts with content, making it an important point of influence in the Technologies & Applications category.
11 198
Subscribers
-824 hours
+107 days
-2030 days
Posts Archive
11 198
Ошибка в ядре Linux позволила гостевой машине вмешаться в работу хоста на arm64
Исследователь Хёнву Ким обнаружил уязвимость CVE-2026-46316
(CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H — 9.3 Critical) в реализации KVM для arm64 в ядре Linux. Из-за состояния гонки в эмуляции vGIC-ITS гостевая система могла вмешиваться в то, как хост обрабатывает прерывания, и добиться выполнения своих команд.
При успешной атаке код исполняется не с правами процесса виртуализации, а с привилегиями ядра хоста. В демонстрации это выразилось наглядно: после выхода из гостевой системы уязвимость создавала файл /ITScape на хосте от имени пользователя с uid 0.
Уязвимость затрагивает ядра Linux начиная с апреля 2024 года и исправлена коммитом от 5 июня 2026 года. Проблема касается только KVM на arm64 и не затрагивает x86 — администраторам таких хостов нужно проверить наличие патча, а пользователям arm64-облаков уточнить статус обновления у своего провайдера.
#kvm #уязвимостьядра #виртуализация #arm64
@ZerodayAlert11 198
Google выпустила экстренное обновление Chrome для всех платформ
В движке V8 обнаружена уязвимость, позволяющая выйти за пределы допустимой области памяти. Google подтвердила, что рабочий эксплойт уже существует и активно применяется злоумышленниками.
Также в обновлении закрыты 17 критических уязвимостей типа use-after-free. Уязвимые компоненты охватывают Ozone, Aura, Bluetooth, Autofill, Gamepad, Printing и ряд других модулей браузера.
Новая версия Chrome получила номера 149.0.7827.102/103 для Windows и macOS и 149.0.7827.102 для Linux. Обновление можно запустить вручную через раздел «О браузере Chrome», после чего потребуется перезапуск.
#chrome #zeroday #google #обновление
@ZerodayAlert
11 198
RoguePlanet бьёт по Microsoft Defender и даёт права SYSTEM в Windows
Исследователь Nightmare Eclipse опубликовал эксплойт RoguePlanet для Microsoft Defender. ThreatLocker подтвердила работу кода на полностью обновлённых Windows 11 с KB5094126. Под ударом остаются Windows 10 и Windows 11, официального исправления от Microsoft пока нет.
Проблема связана с состоянием гонки, при котором атакующий успевает вмешаться в работу процессов Defender и поднять права до SYSTEM. Изначально вектор связывали с обработкой файлов на удалённых SMB-серверах, но Microsoft уже изменила часть механизма, поэтому удалённое выполнение кода остаётся неясным.
До выхода исправления стоит ограничить запуск неизвестных файлов и усилить контроль приложений. Организациям поможет белый список разрешённого ПО. Когда уязвимость закроют, с обновлением лучше не тянуть.
#Defender #Windows #RoguePlanet #LPE
@ZerodayAlert
11 198
Три уязвимости в Ubiquiti UniFi OS Server открывают root-доступ ко всей инфраструктуре
Специалисты показали, что три уязвимости в Ubiquiti UniFi OS Server можно объединить в одну цепочку атаки. Все три получили максимальную оценку по CVSS 10,0 и затрагивают версии UniFi OS Server 5.0.6 и ниже.
Цепочка работает из-за того, что компонент проверки доступа и Nginx по-разному обрабатывают один и тот же запрос: специально составленный запрос выглядит легитимным, но попадает во внутреннюю защищённую часть системы. Это позволяет без каких-либо учётных данных добраться до функции обновления пакетов и внедрить команды, которые выполняются на сервере.
Повышение привилегий до root достигается через права sudo без пароля у служебной учётной записи. Опасность усиливается тем, что UniFi OS Server нередко управляет не только сетью, но и камерами, дверными системами и связанными учётными записями.
#ubiquiti #unifi #уязвимость #rce
@ZerodayAlert
11 198
Check Point сообщила об эксплуатации уязвимости в протоколе IKEv1
Уязвимость затрагивает решения Check Point Remote Access VPN и Mobile Access при включённом устаревшем протоколе IKEv1. Ошибка кроется в механизме проверки сертификатов и позволяет злоумышленнику создать сеанс удалённого доступа в обход стандартной аутентификации.
Первые признаки эксплуатации датируются 7 мая 2026 года, а в начале июня число атак резко возросло. На сегодня зафиксированы десятки атакованных организаций по всему миру, в одном из случаев подтверждена активность партнёра вымогательской группировки Qilin.
В ходе расследования была обнаружена вторая уязвимость, также связанная с IKEv1 и допускающая атаку «человек посередине». Check Point выпустила исправления для обеих уязвимостей и рекомендует немедленно обновить затронутые шлюзы.
#zeroday #уязвимость #вымогатели #ikev1
@ZerodayAlert
11 198
Cisco раскрыла детали активно эксплуатируемой уязвимости в SD-WAN Manager
Cisco обнаружила уязвимость CVE-2026-20245 (с оценкой по CVSS 7.8, High) в интерфейсе командной строки Catalyst SD-WAN Manager. Проблема затрагивает локальные установки, облачные версии SD-WAN и специализированное решение для государственных заказчиков.
Пользователь с правами netadmin способен загрузить специально подготовленный файл и выполнить произвольные команды с привилегиями root.
Недостаточная проверка пользовательских данных позволяет внедрять команды через вредоносный файл и повышать уровень доступа до максимального.
CVE-2026-20245 стала седьмой активно эксплуатируемой уязвимостью Cisco SD-WAN в 2026 году — исправления для неё пока нет. Cisco рекомендует убедиться в наличии ранее выпущенных патчей и проверить журнал
/var/log/scripts.log на признаки компрометации.
#cisco #sdwan #root #zeroday
@ZerodayAlert11 198
Два года, два коммита, один эксплойт — история критической уязвимости в Redis
В январе и марте 2023 года разработчики Redis внесли два небольших изменения в код — каждое выглядело безобидно и прошло проверки безопасности. Вместе они сложились в классическую ошибку use-after-free в функции
unblockClientOnKey(): код освобождал память клиента, а потом продолжал с ней работать как ни в чём не бывало.
Никто не замечал проблему два года, пока на соревновании по взлому ZeroDay.Cloud в Лондоне её не нашёл автономный ИИ-инструмент Team Xint Code. Уязвимость позволяет любому авторизованному пользователю Redis через три этапа — утечку адреса, подмену структуры клиента и перехват системного вызова — выполнять произвольные команды прямо на сервере.
Особую остроту ситуации придаёт масштаб распространения Redis: по оценке Wiz, он встречается в большинстве облачных сред, причём многие экземпляры работают без пароля и с правами по умолчанию, которых достаточно для всей цепочки атаки. Полное техническое описание уже опубликовано — исправленные версии вышли 5 мая, и затягивать с обновлением не стоит.
#redis #zeroday #уязвимость #rce
@ZerodayAlert11 198
MiniPlasma: уязвимость в драйвере Windows, дающая атакующему полный контроль над системой
Уязвимость MiniPlasma затрагивает драйвер Cloud Filter и позволяет поднять привилегии до уровня SYSTEM на полностью обновлённых Windows 11, Windows Server 2022 и Windows Server 2025. Проблема связана с CVE-2020-17103, которую считали закрытой ещё в 2020 году, однако тот же механизм атаки работает до сих пор.
Белый хакер под псевдонимом Nightmare Eclipse опубликовал готовый эксплойт без предварительного уведомления Microsoft — это уже шестая подобная публикация за два последних месяца. Наличие публичного демонстрационного кода снижает порог входа для атакующих: уязвимостью могут воспользоваться не только продвинутые группы, но и менее квалифицированные злоумышленники.
Реальные атаки с применением MiniPlasma фиксируются с 10 апреля, патч Microsoft обещает выпустить 9 июня. До этого момента администраторам рекомендуется отслеживать символические ссылки в ветке реестра
CloudFiles\BlockedApps, появление wermgr.exe вне системных каталогов и нестандартную активность службы отчётов об ошибках Windows.
#windows #SYSTEM #0day #miniplasma
@ZerodayAlert11 198
Без патча и без CVE: 0day в Windows позволяет перехватить учётные данные домена
Атакующему достаточно убедить пользователя перейти по ссылке вида
search: с параметром crumb=location: и сетевым UNC-путём. Windows автоматически обращается к SMB-серверу злоумышленника и отправляет NTLMv2-хеш — ещё до того, как пользователь увидит сообщение об ошибке.
Проблема воспроизводится на Windows 11 25H2 Pro под обычной учётной записью без прав администратора и при включённом Защитнике. Схемы search: и search-ms: обрабатываются одним компонентом ExplorerFrame.dll, поэтому точечное исправление одной из них не закрывает уязвимость полностью.
Huntress уведомила Microsoft 15 апреля 2026 года, однако компания отказалась выпускать исправление и присваивать CVE, сославшись на умеренную степень опасности. При этом аналогичная уязвимость в «Ножницах» (CVE-2026-33829) с тем же рейтингом всё же получила исправление в том же месяце.
#windows #ntlm #уязвимость #утечкаданных
@ZerodayAlert11 198
Что скрывают коридоры корпоративной сети 🔦
Сигналы становятся тише. Тени — гуще. Аномалии появляются там, где еще вчера все казалось привычным и безопасным. И только PT NAD всегда позволял видеть то, что остается в тенях инфраструктуры.
Но что-то изменилось… Словно в глубине сети открылся портал — в новую, более опасную реальность. И на этот раз система первой ощущает, что привычные правила больше не работают.
Поэтому PT NAD в версии 13.0 обретает новую силу 🌐
Смотрите сегодня 4 июня в 14:00 как PT NAD закрывает цикл incident response — от точного детекта до автоматизированного реагирования.
Что внутри?
⚡️ Автоматизированное реагирование — одно действие в интерфейсе, и угроза изолируется до того, как успевает стать инцидентом.
✨ Облачное детектирование — дополнительные ИИ-мощности в нашем облаке позволят видеть больше, реагировать точнее и отсекать ложные тревоги без затрат на новую инфраструктуру.
💬 Архивное хранение метаданных — поможет расследовать продолжительные инциденты без значительного удорожания инфраструктуры.
⏳ Гибкая интеграция с песочницами — подозрительные объекты больше не останутся загадкой.
🚨 Новые алгоритмы определения протоколов по побочным каналам — PT NAD сможет видеть даже то, что пытается остаться невидимым.
Мы включим свет 4 июня в 14:00. И все, что скрывалось в тенях сети, перестанет быть невидимым. Регистрируйтесь заранее — чтобы ничего не пропустить и не остаться во тьме.
#PTNAD
@Positive_Technologies
11 198
Meta устранила способ захвата аккаунтов Instagram через собственного ИИ-ассистента
Злоумышленники обращались к ИИ-помощнику Meta* в чате и просили привязать к чужому аккаунту новый адрес электронной почты. После этого система отправляла проверочный код уже на почту атакующего — и этого было достаточно для сброса пароля без доступа к оригинальному ящику владельца.
Среди пострадавших оказались заметные аккаунты: страница Белого дома эпохи Обамы, профиль высокопоставленного военного Космических сил США и аккаунт Sephora. Часть захваченных страниц временно получила проиранские изображения, а атакующие параллельно охотились за ценными короткими никами.
Instagram* устранил проблему после волны публикаций на Reddit, X и в Telegram, где распространялись видео и описания атаки. По данным авторов этих материалов, схема не срабатывала на аккаунтах с включённой многофакторной аутентификацией.
#ИИ #чатбот #взлом #кибербезопасность
@ZerodayAlert
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
11 198
Одним домашним компьютером можно положить nginx, Apache или IIS за несколько секунд
Новая атака HTTP/2 Bomb объединила два давно известных приёма в одну цепочку - и результат оказался неожиданно разрушительным. Алгоритм сжатия заголовков HPACK превращается в усилитель нагрузки, а механизм управления потоком не даёт серверу освободить память. Под удар попали nginx, Apache httpd, Microsoft IIS, Envoy и Cloudflare Pingora.
Сервер исправно проверяет лимит на объём заголовков - и не находит нарушений. Но памяти уходит всё больше: один байт в пакете заставляет создать полноценную структуру данных, и так тысячи раз за один запрос. Усиление в демонстрации достигло 5700:1 - при том что сам запрос выглядел совершенно законным.
Атаку нашёл не исследователь, а OpenAI Codex при анализе кода - модель просто связала две идеи, которые специалисты годами рассматривали по отдельности. Авторы сразу предупреждают: после выхода патча восстановить логику эксплойта по diff-файлу теперь может любой. Окно между исправлением и рабочей атакой сжалось до минут.
#HTTP2 #HPACK #отказвобслуживании
@ZerodayAlert
11 198
0day в VS Code: свободный доступ к приватным репозиториям GitHub по одной ссылке
github.dev — это VS Code прямо в браузере, и для работы GitHub выдаёт ему токен доступа. Этот токен действует не только для открытого репозитория, но и для всех приватных проектов пользователя.
VS Code прокидывает нажатия клавиш из встроенных окон в основной редактор — чтобы работали горячие клавиши. Вредоносный скрипт мог имитировать эти нажатия и без ведома пользователя установить расширение, которое крадёт токен.
Для атаки достаточно было перейти по подготовленной ссылке на репозиторий с вредоносным блокнотом Jupyter. Исследователь раскрыл уязвимость 2 июня 2026 года и за час до публикации сообщил об этом в GitHub.
#github #vscode #уязвимость #zeroday
@ZerodayAlert11 198
Netlogon дал атакующим прямой путь к контроллерам домена Windows Server
Бельгийский регулятор сообщил, что CVE-2026-41089 уже используют в реальных атаках. Речь не о второстепенном компоненте, а о Windows Netlogon, который участвует в проверке пользователей и сервисов в корпоративных сетях. Уязвимы все поддерживаемые версии Windows Server, включая Windows Server 2025.
Корень проблемы простой и опасный: переполнение буфера в службе, которая стоит в центре доменной инфраструктуры. Атакующему достаточно отправить вредоносный сетевой запрос на контроллер домена, без пароля и без прав. Если сервер не обновлен, ошибка может привести к удаленному выполнению кода.
Откладывать патч здесь плохая идея, потому что такие баги быстро превращаются в массовую охоту на домены. Администраторам стоит срочно проверить установку майских обновлений безопасности. А контроллеры домена лучше дополнительно просмотреть на подозрительную сетевую активность.
#WindowsServer #Netlogon #CVE #RCE
@ZerodayAlert
11 198
Gogs оставили без патча после отчёта о RCE через git rebase
Новый 0-day в Gogs бьёт по версиям 0.14.2 и 0.15.0+dev. Rapid7 говорит, что админка атакующему не нужна. Достаточно зарегистрироваться, создать репозиторий и подготовить pull request с хитрым именем ветки.
Схема простая и неприятная. Gogs передаёт имя ветки в логику Merge(), где можно подсунуть аргумент --exec для git rebase. Когда сервер делает «Rebase before merging», Git выполняет команду атакующего уже на стороне сервера.
Рекомендации следующие: закройте регистрацию, проверьте права на создание репозиториев и уберите Gogs из прямого доступа с интернета. Отключите «Rebase before merging», если функция не нужна. Логи и новые репозитории лучше проверить вручную, особенно на публичных инстансах.
#gogs #git #rce #0day
@ZerodayAlert
11 198
Notepad++ закрыл три уязвимости, две позволяют выполнить чужой код
Разработчики выпустили Notepad++ 8.9.6.1 и закрыли CVE-2026-48770, CVE-2026-48778 и CVE-2026-48800. Самые опасные бреши получили оценку 7,8 по CVSS и затрагивают сценарии с config.xml и shortcuts.xml. Для редактора, которым массово пользуются в Windows-средах, риск выглядит заметным.
Главная проблема связана с тем, как Notepad++ обрабатывал параметр commandLineInterpreter. Программа брала значение из конфигурации без проверки, а затем запускала указанный файл через штатную функцию «Open Containing Folder in cmd». Злоумышленник мог подменить настройки через AppData, ярлык с -settingsDir, облачную папку или подготовленный архив.
Пользователям лучше обновиться до Notepad++ 8.9.6.1. Администраторам стоит следить за изменениями config.xml и shortcuts.xml. В корпоративной среде права записи в чувствительные каталоги лучше ограничить заранее.
11 198
Стандартные ключи шифрования ASP.NET оставили серверы обучения без защиты
Платформа KnowledgeDeliver использовала стандартный файл конфигурации с одинаковыми ключами ASP.NET machineKey. Получив секретные параметры, злоумышленники создавали поддельный ViewState и выполняли команды на целевом сервере.
Взломщики загружали инструмент BLUEBEAM напрямую в память системного процесса IIS. Скрытая программа принимала зашифрованные команды и запускала дополнительные модули без сохранения файлов на жестком диске.
Атакующие меняли права доступа к системным папкам и добавляли вредоносный код в сценарии платформы. Посетители сайта видели ложное окно безопасности и скачивали Cobalt Strike BEACON.
#уязвимость #образование #взлом #безопасность @ZerodayAlert
11 198
Ошибки маршрутизации в Starlette затронули проекты на базе FastAPI
Starlette неправильно восстанавливает адрес запроса: фреймворк собирает URL из пути и содержимого заголовка Host, не проверяя корректность его значения. Добавление специальных символов в Host позволяет фактически подменить путь запроса в обработчике приложения.
Маршрутизация использует реальный HTTP-путь, тогда как часть защитных механизмов опирается на
request.url.path, который строится из уже изменённого URL. На практике это позволяет обойти защиту панели администратора: запрос к /admin возвращал 403, но символ «?» в заголовке Host открывал доступ к закрытому разделу.
Уязвимость CVE-2026-48710 с оценкой CVSS 6.5 Medium затрагивает версии 0.8.3–1.0.0 и все популярные ASGI-серверы при использовании request.url.path. Исправление вышло в версии 1.0.1, а до обновления рекомендуется использовать request.scope["path"] и проверять заголовок Host на уровне обратного прокси.
#starlette #fastapi #python #уязвимость
@ZerodayAlert11 198
Посетители японской учебной платформы KnowledgeDeliver получили Cobalt Strike вместо урока
Все установки KnowledgeDeliver до 24 февраля 2026 года поставлялись с одинаковым файлом
web.config, содержащим стандартные ключи ASP.NET machineKey. Зная эти ключи, злоумышленник мог сформировать вредоносный ViewState и выполнить произвольный код на любом доступном сервере платформы без аутентификации.
После проникновения атакующие развернули веб-оболочку BLUEBEAM (Godzilla), работающую исключительно в памяти процесса IIS w3wp.exe. Это позволяло управлять сервером через зашифрованные HTTP POST-запросы, не оставляя следов на диске при стандартной проверке файлов.
Затем злоумышленники внедрили вредоносный код в JavaScript-файл сайта и начали показывать посетителям поддельное предупреждение безопасности с предложением установить «модуль проверки подлинности». Поддельный установщик заражал рабочие станции загрузчиком Cobalt Strike BEACON, зашифрованным с использованием названия конкретной атакуемой организации.
#knowledgedeliver #уязвимость #aspnet #кибербезопасность
@ZerodayAlert11 198
7-Zip 26.00 и старше уязвимы к запуску кода через NTFS-образ
GitHub Security Lab выявила в 7-Zip уязвимость CVE-2026-48095, связанную с обработкой NTFS-образов. Ошибка подтверждена в 7-Zip 26.00, но затрагивает все версии с поддержкой сжатых потоков NTFS. Для атаки достаточно, чтобы пользователь открыл, проверил или начал извлекать файл из подготовленного образа.
Корень проблемы кроется в обработчике NTFS. Старые версии 7-Zip принимают слишком крупный размер кластера и значение CompressionUnit, а затем ошибаются при расчете буфера для сжатых данных. Из-за сбоя в 32-битной арифметике программа может выделить всего 1 байт, после чего записывает туда до 256 МБ данных, контролируемых атакующими. Такая перезапись памяти бьет по объектам в куче и может привести к выполнению кода или падению приложения.
Рекомендации следующие: обновите 7-Zip до 26.01 или новее. Не открывайте образы дисков и архивы из сомнительных источников. Не доверяйте расширению файла, потому что 7-Zip может распознать NTFS по сигнатуре даже под видом .zip, .rar, .7z или файла без окончания.
