¡Ya disponible! Investigación de Telegram 2025 — los principales insights del año 
0day Alert
Ir al canal en Telegram
Заявление в РКН № 7218246762. Анализируем и делимся новейшими уязвимостями в ПО и системах, предоставляя рекомендации по их устранению.
Mostrar más📈 Análisis del canal de Telegram 0day Alert
El canal 0day Alert (@zerodayalert) en el segmento lingüístico de Ruso es un actor destacado. Actualmente la comunidad reúne a 11 198 suscriptores, ocupando la posición 11 085 en la categoría Tecnologías y Aplicaciones y el puesto 58 380 en la región Rusia.
📊 Métricas de audiencia y dinámica
Desde su creación el невідомо, el proyecto ha mostrado un crecimiento acelerado, reuniendo a 11 198 suscriptores.
Según los últimos datos del 14 junio, 2026, el canal mantiene una actividad estable. En los últimos 30 días la variación de miembros fue de -20, y en las últimas 24 horas de -8, conservando un alto alcance.
- Estado de verificación: No verificado
- Tasa de interacción (ER): El promedio de interacción de la audiencia es 25.67%. Durante las primeras 24 horas tras publicar, el contenido suele obtener 20.98% de reacciones respecto al total de suscriptores.
- Alcance de las publicaciones: Cada publicación recibe en promedio 2 888 visualizaciones. En el primer día suele acumular 2 360 visualizaciones.
- Reacciones e interacción: La audiencia responde de forma activa: el promedio de reacciones por publicación es 8.
- Intereses temáticos: El contenido se centra en temas clave como cve-2025, microsoft, исправление, zero, хакер.
📝 Descripción y política de contenido
El autor describe el recurso como un espacio para expresar opiniones subjetivas:
“Заявление в РКН № 7218246762. Анализируем и делимся новейшими уязвимостями в ПО и системах, предоставляя рекомендации по их устранению.”
Gracias a la alta frecuencia de actualizaciones (últimos datos recibidos el 15 junio, 2026), el canal mantiene la vigencia y un amplio alcance. La analítica demuestra que la audiencia interactúa activamente con el contenido, lo que lo convierte en un punto de referencia dentro de la categoría Tecnologías y Aplicaciones.
11 198
Suscriptores
-824 horas
+107 días
-2030 días
Archivo de publicaciones
11 198
Ошибка в ядре Linux позволила гостевой машине вмешаться в работу хоста на arm64
Исследователь Хёнву Ким обнаружил уязвимость CVE-2026-46316
(CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H — 9.3 Critical) в реализации KVM для arm64 в ядре Linux. Из-за состояния гонки в эмуляции vGIC-ITS гостевая система могла вмешиваться в то, как хост обрабатывает прерывания, и добиться выполнения своих команд.
При успешной атаке код исполняется не с правами процесса виртуализации, а с привилегиями ядра хоста. В демонстрации это выразилось наглядно: после выхода из гостевой системы уязвимость создавала файл /ITScape на хосте от имени пользователя с uid 0.
Уязвимость затрагивает ядра Linux начиная с апреля 2024 года и исправлена коммитом от 5 июня 2026 года. Проблема касается только KVM на arm64 и не затрагивает x86 — администраторам таких хостов нужно проверить наличие патча, а пользователям arm64-облаков уточнить статус обновления у своего провайдера.
#kvm #уязвимостьядра #виртуализация #arm64
@ZerodayAlert11 198
Google выпустила экстренное обновление Chrome для всех платформ
В движке V8 обнаружена уязвимость, позволяющая выйти за пределы допустимой области памяти. Google подтвердила, что рабочий эксплойт уже существует и активно применяется злоумышленниками.
Также в обновлении закрыты 17 критических уязвимостей типа use-after-free. Уязвимые компоненты охватывают Ozone, Aura, Bluetooth, Autofill, Gamepad, Printing и ряд других модулей браузера.
Новая версия Chrome получила номера 149.0.7827.102/103 для Windows и macOS и 149.0.7827.102 для Linux. Обновление можно запустить вручную через раздел «О браузере Chrome», после чего потребуется перезапуск.
#chrome #zeroday #google #обновление
@ZerodayAlert
11 198
RoguePlanet бьёт по Microsoft Defender и даёт права SYSTEM в Windows
Исследователь Nightmare Eclipse опубликовал эксплойт RoguePlanet для Microsoft Defender. ThreatLocker подтвердила работу кода на полностью обновлённых Windows 11 с KB5094126. Под ударом остаются Windows 10 и Windows 11, официального исправления от Microsoft пока нет.
Проблема связана с состоянием гонки, при котором атакующий успевает вмешаться в работу процессов Defender и поднять права до SYSTEM. Изначально вектор связывали с обработкой файлов на удалённых SMB-серверах, но Microsoft уже изменила часть механизма, поэтому удалённое выполнение кода остаётся неясным.
До выхода исправления стоит ограничить запуск неизвестных файлов и усилить контроль приложений. Организациям поможет белый список разрешённого ПО. Когда уязвимость закроют, с обновлением лучше не тянуть.
#Defender #Windows #RoguePlanet #LPE
@ZerodayAlert
11 198
Три уязвимости в Ubiquiti UniFi OS Server открывают root-доступ ко всей инфраструктуре
Специалисты показали, что три уязвимости в Ubiquiti UniFi OS Server можно объединить в одну цепочку атаки. Все три получили максимальную оценку по CVSS 10,0 и затрагивают версии UniFi OS Server 5.0.6 и ниже.
Цепочка работает из-за того, что компонент проверки доступа и Nginx по-разному обрабатывают один и тот же запрос: специально составленный запрос выглядит легитимным, но попадает во внутреннюю защищённую часть системы. Это позволяет без каких-либо учётных данных добраться до функции обновления пакетов и внедрить команды, которые выполняются на сервере.
Повышение привилегий до root достигается через права sudo без пароля у служебной учётной записи. Опасность усиливается тем, что UniFi OS Server нередко управляет не только сетью, но и камерами, дверными системами и связанными учётными записями.
#ubiquiti #unifi #уязвимость #rce
@ZerodayAlert
11 198
Check Point сообщила об эксплуатации уязвимости в протоколе IKEv1
Уязвимость затрагивает решения Check Point Remote Access VPN и Mobile Access при включённом устаревшем протоколе IKEv1. Ошибка кроется в механизме проверки сертификатов и позволяет злоумышленнику создать сеанс удалённого доступа в обход стандартной аутентификации.
Первые признаки эксплуатации датируются 7 мая 2026 года, а в начале июня число атак резко возросло. На сегодня зафиксированы десятки атакованных организаций по всему миру, в одном из случаев подтверждена активность партнёра вымогательской группировки Qilin.
В ходе расследования была обнаружена вторая уязвимость, также связанная с IKEv1 и допускающая атаку «человек посередине». Check Point выпустила исправления для обеих уязвимостей и рекомендует немедленно обновить затронутые шлюзы.
#zeroday #уязвимость #вымогатели #ikev1
@ZerodayAlert
11 198
Cisco раскрыла детали активно эксплуатируемой уязвимости в SD-WAN Manager
Cisco обнаружила уязвимость CVE-2026-20245 (с оценкой по CVSS 7.8, High) в интерфейсе командной строки Catalyst SD-WAN Manager. Проблема затрагивает локальные установки, облачные версии SD-WAN и специализированное решение для государственных заказчиков.
Пользователь с правами netadmin способен загрузить специально подготовленный файл и выполнить произвольные команды с привилегиями root.
Недостаточная проверка пользовательских данных позволяет внедрять команды через вредоносный файл и повышать уровень доступа до максимального.
CVE-2026-20245 стала седьмой активно эксплуатируемой уязвимостью Cisco SD-WAN в 2026 году — исправления для неё пока нет. Cisco рекомендует убедиться в наличии ранее выпущенных патчей и проверить журнал
/var/log/scripts.log на признаки компрометации.
#cisco #sdwan #root #zeroday
@ZerodayAlert11 198
Два года, два коммита, один эксплойт — история критической уязвимости в Redis
В январе и марте 2023 года разработчики Redis внесли два небольших изменения в код — каждое выглядело безобидно и прошло проверки безопасности. Вместе они сложились в классическую ошибку use-after-free в функции
unblockClientOnKey(): код освобождал память клиента, а потом продолжал с ней работать как ни в чём не бывало.
Никто не замечал проблему два года, пока на соревновании по взлому ZeroDay.Cloud в Лондоне её не нашёл автономный ИИ-инструмент Team Xint Code. Уязвимость позволяет любому авторизованному пользователю Redis через три этапа — утечку адреса, подмену структуры клиента и перехват системного вызова — выполнять произвольные команды прямо на сервере.
Особую остроту ситуации придаёт масштаб распространения Redis: по оценке Wiz, он встречается в большинстве облачных сред, причём многие экземпляры работают без пароля и с правами по умолчанию, которых достаточно для всей цепочки атаки. Полное техническое описание уже опубликовано — исправленные версии вышли 5 мая, и затягивать с обновлением не стоит.
#redis #zeroday #уязвимость #rce
@ZerodayAlert11 198
MiniPlasma: уязвимость в драйвере Windows, дающая атакующему полный контроль над системой
Уязвимость MiniPlasma затрагивает драйвер Cloud Filter и позволяет поднять привилегии до уровня SYSTEM на полностью обновлённых Windows 11, Windows Server 2022 и Windows Server 2025. Проблема связана с CVE-2020-17103, которую считали закрытой ещё в 2020 году, однако тот же механизм атаки работает до сих пор.
Белый хакер под псевдонимом Nightmare Eclipse опубликовал готовый эксплойт без предварительного уведомления Microsoft — это уже шестая подобная публикация за два последних месяца. Наличие публичного демонстрационного кода снижает порог входа для атакующих: уязвимостью могут воспользоваться не только продвинутые группы, но и менее квалифицированные злоумышленники.
Реальные атаки с применением MiniPlasma фиксируются с 10 апреля, патч Microsoft обещает выпустить 9 июня. До этого момента администраторам рекомендуется отслеживать символические ссылки в ветке реестра
CloudFiles\BlockedApps, появление wermgr.exe вне системных каталогов и нестандартную активность службы отчётов об ошибках Windows.
#windows #SYSTEM #0day #miniplasma
@ZerodayAlert11 198
Без патча и без CVE: 0day в Windows позволяет перехватить учётные данные домена
Атакующему достаточно убедить пользователя перейти по ссылке вида
search: с параметром crumb=location: и сетевым UNC-путём. Windows автоматически обращается к SMB-серверу злоумышленника и отправляет NTLMv2-хеш — ещё до того, как пользователь увидит сообщение об ошибке.
Проблема воспроизводится на Windows 11 25H2 Pro под обычной учётной записью без прав администратора и при включённом Защитнике. Схемы search: и search-ms: обрабатываются одним компонентом ExplorerFrame.dll, поэтому точечное исправление одной из них не закрывает уязвимость полностью.
Huntress уведомила Microsoft 15 апреля 2026 года, однако компания отказалась выпускать исправление и присваивать CVE, сославшись на умеренную степень опасности. При этом аналогичная уязвимость в «Ножницах» (CVE-2026-33829) с тем же рейтингом всё же получила исправление в том же месяце.
#windows #ntlm #уязвимость #утечкаданных
@ZerodayAlert11 198
Что скрывают коридоры корпоративной сети 🔦
Сигналы становятся тише. Тени — гуще. Аномалии появляются там, где еще вчера все казалось привычным и безопасным. И только PT NAD всегда позволял видеть то, что остается в тенях инфраструктуры.
Но что-то изменилось… Словно в глубине сети открылся портал — в новую, более опасную реальность. И на этот раз система первой ощущает, что привычные правила больше не работают.
Поэтому PT NAD в версии 13.0 обретает новую силу 🌐
Смотрите сегодня 4 июня в 14:00 как PT NAD закрывает цикл incident response — от точного детекта до автоматизированного реагирования.
Что внутри?
⚡️ Автоматизированное реагирование — одно действие в интерфейсе, и угроза изолируется до того, как успевает стать инцидентом.
✨ Облачное детектирование — дополнительные ИИ-мощности в нашем облаке позволят видеть больше, реагировать точнее и отсекать ложные тревоги без затрат на новую инфраструктуру.
💬 Архивное хранение метаданных — поможет расследовать продолжительные инциденты без значительного удорожания инфраструктуры.
⏳ Гибкая интеграция с песочницами — подозрительные объекты больше не останутся загадкой.
🚨 Новые алгоритмы определения протоколов по побочным каналам — PT NAD сможет видеть даже то, что пытается остаться невидимым.
Мы включим свет 4 июня в 14:00. И все, что скрывалось в тенях сети, перестанет быть невидимым. Регистрируйтесь заранее — чтобы ничего не пропустить и не остаться во тьме.
#PTNAD
@Positive_Technologies
11 198
Meta устранила способ захвата аккаунтов Instagram через собственного ИИ-ассистента
Злоумышленники обращались к ИИ-помощнику Meta* в чате и просили привязать к чужому аккаунту новый адрес электронной почты. После этого система отправляла проверочный код уже на почту атакующего — и этого было достаточно для сброса пароля без доступа к оригинальному ящику владельца.
Среди пострадавших оказались заметные аккаунты: страница Белого дома эпохи Обамы, профиль высокопоставленного военного Космических сил США и аккаунт Sephora. Часть захваченных страниц временно получила проиранские изображения, а атакующие параллельно охотились за ценными короткими никами.
Instagram* устранил проблему после волны публикаций на Reddit, X и в Telegram, где распространялись видео и описания атаки. По данным авторов этих материалов, схема не срабатывала на аккаунтах с включённой многофакторной аутентификацией.
#ИИ #чатбот #взлом #кибербезопасность
@ZerodayAlert
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
11 198
Одним домашним компьютером можно положить nginx, Apache или IIS за несколько секунд
Новая атака HTTP/2 Bomb объединила два давно известных приёма в одну цепочку - и результат оказался неожиданно разрушительным. Алгоритм сжатия заголовков HPACK превращается в усилитель нагрузки, а механизм управления потоком не даёт серверу освободить память. Под удар попали nginx, Apache httpd, Microsoft IIS, Envoy и Cloudflare Pingora.
Сервер исправно проверяет лимит на объём заголовков - и не находит нарушений. Но памяти уходит всё больше: один байт в пакете заставляет создать полноценную структуру данных, и так тысячи раз за один запрос. Усиление в демонстрации достигло 5700:1 - при том что сам запрос выглядел совершенно законным.
Атаку нашёл не исследователь, а OpenAI Codex при анализе кода - модель просто связала две идеи, которые специалисты годами рассматривали по отдельности. Авторы сразу предупреждают: после выхода патча восстановить логику эксплойта по diff-файлу теперь может любой. Окно между исправлением и рабочей атакой сжалось до минут.
#HTTP2 #HPACK #отказвобслуживании
@ZerodayAlert
11 198
0day в VS Code: свободный доступ к приватным репозиториям GitHub по одной ссылке
github.dev — это VS Code прямо в браузере, и для работы GitHub выдаёт ему токен доступа. Этот токен действует не только для открытого репозитория, но и для всех приватных проектов пользователя.
VS Code прокидывает нажатия клавиш из встроенных окон в основной редактор — чтобы работали горячие клавиши. Вредоносный скрипт мог имитировать эти нажатия и без ведома пользователя установить расширение, которое крадёт токен.
Для атаки достаточно было перейти по подготовленной ссылке на репозиторий с вредоносным блокнотом Jupyter. Исследователь раскрыл уязвимость 2 июня 2026 года и за час до публикации сообщил об этом в GitHub.
#github #vscode #уязвимость #zeroday
@ZerodayAlert11 198
Netlogon дал атакующим прямой путь к контроллерам домена Windows Server
Бельгийский регулятор сообщил, что CVE-2026-41089 уже используют в реальных атаках. Речь не о второстепенном компоненте, а о Windows Netlogon, который участвует в проверке пользователей и сервисов в корпоративных сетях. Уязвимы все поддерживаемые версии Windows Server, включая Windows Server 2025.
Корень проблемы простой и опасный: переполнение буфера в службе, которая стоит в центре доменной инфраструктуры. Атакующему достаточно отправить вредоносный сетевой запрос на контроллер домена, без пароля и без прав. Если сервер не обновлен, ошибка может привести к удаленному выполнению кода.
Откладывать патч здесь плохая идея, потому что такие баги быстро превращаются в массовую охоту на домены. Администраторам стоит срочно проверить установку майских обновлений безопасности. А контроллеры домена лучше дополнительно просмотреть на подозрительную сетевую активность.
#WindowsServer #Netlogon #CVE #RCE
@ZerodayAlert
11 198
Gogs оставили без патча после отчёта о RCE через git rebase
Новый 0-day в Gogs бьёт по версиям 0.14.2 и 0.15.0+dev. Rapid7 говорит, что админка атакующему не нужна. Достаточно зарегистрироваться, создать репозиторий и подготовить pull request с хитрым именем ветки.
Схема простая и неприятная. Gogs передаёт имя ветки в логику Merge(), где можно подсунуть аргумент --exec для git rebase. Когда сервер делает «Rebase before merging», Git выполняет команду атакующего уже на стороне сервера.
Рекомендации следующие: закройте регистрацию, проверьте права на создание репозиториев и уберите Gogs из прямого доступа с интернета. Отключите «Rebase before merging», если функция не нужна. Логи и новые репозитории лучше проверить вручную, особенно на публичных инстансах.
#gogs #git #rce #0day
@ZerodayAlert
11 198
Notepad++ закрыл три уязвимости, две позволяют выполнить чужой код
Разработчики выпустили Notepad++ 8.9.6.1 и закрыли CVE-2026-48770, CVE-2026-48778 и CVE-2026-48800. Самые опасные бреши получили оценку 7,8 по CVSS и затрагивают сценарии с config.xml и shortcuts.xml. Для редактора, которым массово пользуются в Windows-средах, риск выглядит заметным.
Главная проблема связана с тем, как Notepad++ обрабатывал параметр commandLineInterpreter. Программа брала значение из конфигурации без проверки, а затем запускала указанный файл через штатную функцию «Open Containing Folder in cmd». Злоумышленник мог подменить настройки через AppData, ярлык с -settingsDir, облачную папку или подготовленный архив.
Пользователям лучше обновиться до Notepad++ 8.9.6.1. Администраторам стоит следить за изменениями config.xml и shortcuts.xml. В корпоративной среде права записи в чувствительные каталоги лучше ограничить заранее.
11 198
Стандартные ключи шифрования ASP.NET оставили серверы обучения без защиты
Платформа KnowledgeDeliver использовала стандартный файл конфигурации с одинаковыми ключами ASP.NET machineKey. Получив секретные параметры, злоумышленники создавали поддельный ViewState и выполняли команды на целевом сервере.
Взломщики загружали инструмент BLUEBEAM напрямую в память системного процесса IIS. Скрытая программа принимала зашифрованные команды и запускала дополнительные модули без сохранения файлов на жестком диске.
Атакующие меняли права доступа к системным папкам и добавляли вредоносный код в сценарии платформы. Посетители сайта видели ложное окно безопасности и скачивали Cobalt Strike BEACON.
#уязвимость #образование #взлом #безопасность @ZerodayAlert
11 198
Ошибки маршрутизации в Starlette затронули проекты на базе FastAPI
Starlette неправильно восстанавливает адрес запроса: фреймворк собирает URL из пути и содержимого заголовка Host, не проверяя корректность его значения. Добавление специальных символов в Host позволяет фактически подменить путь запроса в обработчике приложения.
Маршрутизация использует реальный HTTP-путь, тогда как часть защитных механизмов опирается на
request.url.path, который строится из уже изменённого URL. На практике это позволяет обойти защиту панели администратора: запрос к /admin возвращал 403, но символ «?» в заголовке Host открывал доступ к закрытому разделу.
Уязвимость CVE-2026-48710 с оценкой CVSS 6.5 Medium затрагивает версии 0.8.3–1.0.0 и все популярные ASGI-серверы при использовании request.url.path. Исправление вышло в версии 1.0.1, а до обновления рекомендуется использовать request.scope["path"] и проверять заголовок Host на уровне обратного прокси.
#starlette #fastapi #python #уязвимость
@ZerodayAlert11 198
Посетители японской учебной платформы KnowledgeDeliver получили Cobalt Strike вместо урока
Все установки KnowledgeDeliver до 24 февраля 2026 года поставлялись с одинаковым файлом
web.config, содержащим стандартные ключи ASP.NET machineKey. Зная эти ключи, злоумышленник мог сформировать вредоносный ViewState и выполнить произвольный код на любом доступном сервере платформы без аутентификации.
После проникновения атакующие развернули веб-оболочку BLUEBEAM (Godzilla), работающую исключительно в памяти процесса IIS w3wp.exe. Это позволяло управлять сервером через зашифрованные HTTP POST-запросы, не оставляя следов на диске при стандартной проверке файлов.
Затем злоумышленники внедрили вредоносный код в JavaScript-файл сайта и начали показывать посетителям поддельное предупреждение безопасности с предложением установить «модуль проверки подлинности». Поддельный установщик заражал рабочие станции загрузчиком Cobalt Strike BEACON, зашифрованным с использованием названия конкретной атакуемой организации.
#knowledgedeliver #уязвимость #aspnet #кибербезопасность
@ZerodayAlert11 198
7-Zip 26.00 и старше уязвимы к запуску кода через NTFS-образ
GitHub Security Lab выявила в 7-Zip уязвимость CVE-2026-48095, связанную с обработкой NTFS-образов. Ошибка подтверждена в 7-Zip 26.00, но затрагивает все версии с поддержкой сжатых потоков NTFS. Для атаки достаточно, чтобы пользователь открыл, проверил или начал извлекать файл из подготовленного образа.
Корень проблемы кроется в обработчике NTFS. Старые версии 7-Zip принимают слишком крупный размер кластера и значение CompressionUnit, а затем ошибаются при расчете буфера для сжатых данных. Из-за сбоя в 32-битной арифметике программа может выделить всего 1 байт, после чего записывает туда до 256 МБ данных, контролируемых атакующими. Такая перезапись памяти бьет по объектам в куче и может привести к выполнению кода или падению приложения.
Рекомендации следующие: обновите 7-Zip до 26.01 или новее. Не открывайте образы дисков и архивы из сомнительных источников. Не доверяйте расширению файла, потому что 7-Zip может распознать NTFS по сигнатуре даже под видом .zip, .rar, .7z или файла без окончания.
