Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Критические уязвимости недели: что опасно?

2 мин
Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Comet, Perplexity, Grafana Enterprise, Ray, D-Link, W3 Total Cache, 7-Zip, Asus, Chrome. Исследователи SquareX сообщили о критическом баге в ИИ-браузере Comet от Perplexity. Уязвимость связана с неочевидным MCP API, который способен выполнять команды на устройстве без ведома владельца. Патч уже доступен, но сама компания Perplexity отвергла выводы специалистов и публично назвала исследование недостоверным. Grafana Labs объявила об опасном дефекте CVE-2025-41115 в Grafana Enterprise с максимальной оценкой по CVSS. Ошибка позволяет создать учётную запись, которую система распознаёт как администратора или другого внутреннего пользователя, что даёт нарушителю полный контроль. Эксперты Oligo Security зафиксировали новую волну активности под названием ShadowRay 2.0. В атаках применяют старую RCE-уязвимость в фреймворке Ray, с её помощью формируя ботнеты из ИИ-кластеров и автоматизируя масштабирова

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Comet, Perplexity, Grafana Enterprise, Ray, D-Link, W3 Total Cache, 7-Zip, Asus, Chrome.

Исследователи SquareX сообщили о критическом баге в ИИ-браузере Comet от Perplexity. Уязвимость связана с неочевидным MCP API, который способен выполнять команды на устройстве без ведома владельца. Патч уже доступен, но сама компания Perplexity отвергла выводы специалистов и публично назвала исследование недостоверным.

Grafana Labs объявила об опасном дефекте CVE-2025-41115 в Grafana Enterprise с максимальной оценкой по CVSS. Ошибка позволяет создать учётную запись, которую система распознаёт как администратора или другого внутреннего пользователя, что даёт нарушителю полный контроль.

Эксперты Oligo Security зафиксировали новую волну активности под названием ShadowRay 2.0. В атаках применяют старую RCE-уязвимость в фреймворке Ray, с её помощью формируя ботнеты из ИИ-кластеров и автоматизируя масштабирование заражений.

D-Link подтвердила сразу три критические уязвимости удалённого выполнения команд в роутере DIR-878. Патчей не будет, поскольку линейка снята с поддержки ещё в 2021 году, поэтому производитель рекомендует пользователям заменить устройства как можно быстрее.

В WordPress-плагине W3 Total Cache выявлена уязвимость CVE-2025-9501, позволяющая выполнять PHP-команды на сервере без авторизации. Для эксплуатации достаточно оставить комментарий с вредоносной нагрузкой — этого уже хватает для захвата ресурса.

NHS England Digital предупреждает, что уязвимость CVE-2025-11001 в 7-Zip применяется злоумышленниками в реальных атаках. Пользователям настоятельно рекомендуют установить версию 25.00, вышедшую летом 2025 года.

SecurityScorecard обнаружила широкую кампанию WrtHug: около 50 000 роутеров Asus были заражены через набор из шести уязвимостей, главным образом в старых моделях AC и AX-линеек. Компрометированные устройства используются для дальнейшего распространения атак.

Google выпустила аварийное обновление для Chrome, закрыв уязвимость нулевого дня CVE-2025-13223 с оценкой 8,8 по CVSS. Это уже седьмой случай за год, когда ошибка активно используется хакерами до публикации патча.

Оригинал публикации на сайте CISOCLUB: "Обзор уязвимостей за прошедшую неделю (20-26 ноября)".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.