Security Lab

CVSS

1640
CVSS
CVSS (Common Vulnerability Scoring System) — это открытый стандарт, используемый для оценки и классификации уязвимостей информационной безопасности. CVSS предоставляет числовую оценку, которая помогает организациям определить серьезность уязвимости и принять соответствующие меры для устранения угроз.

Оценка CVSS представлена числовым значением от 0 до 10, где 0 обозначает отсутствие уязвимости, а 10 — наивысший уровень уязвимости. Эта оценка позволяет IT-специалистам и администраторам принимать решения о приоритетах по обеспечению безопасности систем и принимать меры для устранения уязвимостей, наиболее критичных для организации.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

Шульман против MITRE: уязвимости DNSSEC неравнозначны по своему ущербу

Ошибочное приравнивание критичности угроз вызвало недовольство исследователей.

Код красный: в одном из продуктов Ivanti найдена очередная дыра безопасности

Обновите корпоративное ПО, пока хакеры не добрались до ваших данных.

CVE-2023-5528: ваш кластер Kubernetes подвержен удалённому выполнению кода

Обновите свои системы, пока не стало слишком поздно.

CVE-2024-1403: новый громкий прокол в программном обеспечении Progress Software

Как всего один баг в процессе авторизации способен привести к цифровой катастрофе.

Кибербандиты похищают SAML-токены из Cisco Secure Client

CRLF-инъекция может закончиться кражей вашей VPN-сессии.

CVSS 4.0 - обновленная система оценки уязвимостей

Хакерам удалось проникнуть в файловую систему клиентов ESET

Критическая уязвимость повышения привилегий ставит под вопрос эффективность популярного защитного решения.

SolarWinds устранила 5 RCE-уязвимостей в Access Rights Manager

Критические недостатки были исправлены, но вопросы к компании ещё остались...

CVE-2023-50358: один zero-day, два разных мнения

Разночтения между исследователями привели к путанице. Как обезопасить свой NAS?

Хакеры штурмуют FortiOS: RCE-уязвимость CVE-2024-21762 замечена в реальных атаках

Скорее обновляйтесь, злоумышленники не станут давать вам фору.

9.4 из 10: Mastodon сообщает о критической уязвимости с захватом аккаунтов

CVE-2024-23832 требует незамедлительных действий от администраторов.

CVE-2023-7028: корпоративные секреты с 5300 серверов вот-вот станут добычей хакеров

Почему администраторы не спешат с обновлением, рискуя защитой своих сетей?

Новые уязвимости в Outlook создают риск подбора паролей пользователей

Некоторые методы взлома до сих пор актуальны. Чего ждёт Microsoft?

CVE-2023-34048: zero-day, который тайно эксплуатировался около двух лет

Китайская UNC3886 не оставляет шансов на конфиденциальность пользователям VMware.

Balada Injector снова атакует Интернет: популярный Wordpress-плагин стал идеальной точкой входа для тёмных хакеров

Свыше 7000 заражённых страниц обеспечивают вредоносную активность против простых пользователей.

Zero-click в GitLab: 5 критических уязвимостей способны скомпрометировать любую цепочку поставок

Компания призывает пользователей обновиться как можно скорее.

CVE-2024-21591 в Junos OS: отказ в обслуживании и удалённое выполнение кода

Juniper Networks призывает клиентов как можно скорее обновить свои брандмауэры и коммутаторы.

CISA предупреждает: критическая уязвимость SharePoint вышла из-под контроля

Федеральные агентства США обязаны обновить устаревший софт до конца января.

Уязвимость Microsoft Office становится временной бомбой в руках киберпреступников

Давняя проблема и новаторские подходы для применения деструктивных тактик.

CVE-2023-7024: очередной 0-day в Chrome угрожает безопасности миллионов пользователей веб-браузеров

Обновитесь как можно скорее, пока ваши данные не оказались в руках злоумышленников.

Группа 8220 активирует 'цифровую бомбу' в Oracle WebLogic Server

Целью хакеров стали организации в сфере здравоохранения, телекоммуникаций и финансовых услуг.

NKAbuse: хакеры адаптировали децентрализованный протокол NKN для создания стелс-ботнета

Распределённая природа блокчейна позволяет эффективно маскировать вредоносную активность.

Армия кофеварок атакует: как P2PInfect превращает ваши устройства в зомби-сеть

Использование архитектуры MIPS открывает хакерам новые пути для массовых атак.

Zyxel предупреждает о критических уязвимостях в фирменных NAS-устройствах

Возможна потеря данных и выполнение произвольного кода — обновить своё оборудование нужно незамедлительно.

Новая атака CACTUS: ошибки Qlik Sense используются для захвата корпоративных систем

Уязвимости бизнес-платформы позволяют повысить привилегии и незаметно заразить системы.

Инструмент для взлома Splunk Enterprise угрожает сотням всемирно известных компаний

Эксплойт для критической RCE-уязвимости уже доступен к скачиванию.

Три уязвимости в ownCloud раскрывают пароли администратора и позволяют модифицировать файлы

Разработчики дали рекомендации по смягчению последствий, затягивать с ними не стоит.

Уязвимость WinRAR превратилась в кибероружие для атак на правительственные организации

Больше всего страдают азиатские страны, но едва ли хакеры не могут расширить зону своей активности.

Уязвимостью CVE-2023-37580 в Zimbra успели воспользоваться сразу 4 хакерских группировки

Zero-day в популярном почтовом клиенте обернулся потерей данных для тысяч пользователей.

600 000 сайтов подвержены утечке из-за уязвимого плагина WP Fastest Cache

Свежая уязвимость открывает хакерам доступ к чувствительным базам данных.

Тревога в облаке VMware: активная уязвимость позволяет хакерам атаковать экземпляры Cloud Director

Дыра в безопасности популярного продукта требует срочных мер от администраторов.

Хакеры не дремлют: брешь в протоколе SLP используется для организации высокомощных DoS-атак

CISA обеспокоена активной эксплуатацией и призвала агентства защитить свои сети в кратчайшие сроки.

Обнаружены критические уязвимости в Битрикс24: рекомендации по обновлению

Исследователи из Сингапура внесли неоценимый вклад в безопасность Битрикс.

Запуск CVSS 4.0: новый стандарт для более точной оценки уязвимостей

С помощью новых метрик CVSS v4.0 повышает планку в оценке безопасности.

Обновляйтесь скорее: недостаток безопасности в BIG-IP активно используется в реальных атаках

Защита корпоративных систем полностью сосредоточена в руках администраторов.

Открытые бреши в NGINX угрожают безопасности данных Kubernetes

Исправления до сих пор не выпущены. Кто знает, сколько хакеров успели использовать выявленные уязвимости.

Час Х для BIG-IP: Уязвимость в F5 может стоить компаниям не только денег, но и доверия

Компания уже выпустила исправления, а также предложила ряд временных решений для администраторов.

Хакеры Winter Vivern активно эксплуатируют 0-day уязвимость в почтовом клиенте Roundcube

От потенциальной жертвы требуется лишь открыть письмо, а преступники сами найдут нужный путь.

Норвегия призывает местные компании как можно скорее обновить уязвимые экземпляры IOS XE

Атака на продукт сетевого гиганта Cisco затронула множество критически важных компаний.

Citrix: немедленно обновите свои устройства, хакеры не упустят удобного случая

NetScaler ADC и Gateway в опасности из-за критической бреши CVE-2023-4966.

Хакеры захватили IOS XE, компания Cisco выпускает экстренное исправление

Эксперты фиксируют резкий спад числа заражённых устройств, однако и тут есть подвох.

Ну сколько можно? Клиентам Citrix угрожает очередная дыра в безопасности

Новые уязвимости способны привести к DoS и раскрыть информацию на уязвимых устройствах.

Storm-0062 атакует Atlassian: компания выяснила, кто повышает привилегии в ее системах

Кто эти хакеры и чем они известны?

Уязвимости в роутерах ConnectedIO открыли доступ хакеров к тысячам компаний

Засланный казачок в чужих сетях соберёт все данные и даже не вызовет подозрений.

Atlassian угодил в цифровой капкан: хакеры воспользовались уязвимостью повышения привилегий

Общий доступ сыграл с пользователями Confluence злую шутку.

Разработчики в опасности: на серверы TeamCity обрушился шквал вымогательских атак

Уязвимость устранили пару недель назад, но хакеры и не думают отступать.

Полпути пройдено: Exim исправила 3 zero-day уязвимости, но расслабляться пока не стоит

Множество почтовых серверов всё ещё уязвимы для хакерских атак.

OpenRefine и импорт вредоносного кода: работа с данными может привести к компрометации

Один вредоносный файл — и ваша информация у злоумышленников.

Apple и Google скрыли детали уязвимостей: миллионы устройств в опасности

Критические уязвимости в системах компаний поставили под угрозы продукты других разработчиков.

GitLab Шрёдингера — просто уязвим или уже взломан? Лучше не проверять

Обновите свои установки как можно скорее, чтобы избежать атак на цепочку поставок.

Слабое звено в Take Control Agent: от удаления файлов к угрозе безопасности

8,8 баллов по шкале CVSS заставляют задуматься, установлены ли у вас последние обновления.

А патч выйдет? Cisco предупреждает об активно эксплуатируемом 0-day

Вымогатели полюбили продукты компании за лёгкость компрометации корпоративных сетей.

Атака на MinIO: пересмотрите свои стратегии безопасности прежде, чем стать следующей жертвой

Кибербандиты использовали интересную уловку, чтобы удалённо выполнять вредоносный код.

Безобидный Wordpress-плагин Forminator сеет хаос: 9,8 баллов по шкале опасности

Даже неавторизованные злоумышленники могут похитить все ваши данные.

Блокнот с подвохом: как в популярном Notepad++ обнаружили сразу 4 уязвимости

Всего один текстовый файл может превратить вашу систему в игрушку для злоумышленников.

Лабораторные крысы атакуют GitLab: хакеры промышляют крипто- и проксиджекингом в рамках операции LABRAT

Киберпреступники скомпрометировали множество хостов через двухлетнюю дыру в системе безопасности.

Онлайн-бизнес под угрозой: хакеры атакуют интернет-магазины на популярной CMS-платформе Magento 2

Ущерба можно было избежать, если бы владельцы сайтов вовремя установили обновления безопасности.

Битва за данные: уязвимость безопасности позволяет взломать процессоры Intel за считанные секунды

Фирменное аппаратное шифрование SGX не спасает синие чипы от новой атаки Downfall.

Будто песок сквозь пальцы: организации расходуют ресурсы на устранение неактуальных уязвимостей

Отчёт Rezilion показывает, как правильно провести менеджмент уязвимостей без потери производительности.

Ivanti устранила 0-day дыру в своём продукте EPMM, пострадать успели десятки организаций

Норвежское правительство особенно ярко ощутило все прелести десятибалльной уязвимости по шкале CVSS.

P2PInfect: в облачных средах завёлся чрезвычайно опасный червь

Новый вредонос на языке Rust использует критические уязвимости Redis для самораспространения.

Продукция Citrix подвергается активным хакерским атакам благодаря нескольким уязвимостям нулевого дня

Корпоративным пользователям NetScaler ADC и NetScaler Gateway нужно срочно обновить своё ПО до актуальной версии.

Ghostscript: как одна уязвимая функция может испортить вам жизнь

Новая брешь в безопасности может быть использована как в атаках на Linux, так и на Windows.

Хакеры способны украсть все ваши пароли через Outlook, даже без установки дополнительного ПО

Бен Барнеа из компании Akamai раскрывает подробности новой Zero-Click уязвимости для Windows.

FRRouting под угрозой: эксперты нашли серьезные ошибки в коде

Крупные поставщики, использующие уязвимое решение, подвергают рискам цепочки поставок.

Дата-центры в опасности: источники бесперебойного питания APC подвержены удалённым хакерским атакам

Полное отключение инфраструктуры и потеря важных данных — вот, к чему могут привести выявленные уязвимости.

Российских хакеров подозревают в активной эксплуатации неисправленных серверов PaperCut

Десятки тысяч организаций в опасности из-за очередной уязвимости в популярном программном обеспечении.

CISA предупреждает о множественных уязвимостях в промышленных системах управления

В список попали Hitachi Energy, mySCADA Technologies, Industrial Control Links и Nexx.

Программное обеспечение целого ряда принтеров HP LaserJet уязвимо к удалённым атакам хакеров

Компания не сильно спешит и обещает выпустить исправление в течение трёх месяцев.

Бэкапа не будет! Группировка UNC4466 добралась до серверов Veritas Backup Exec

Как сообщают эксперты, хакеры тесно связаны с бандой вымогателей ALPHV/BlackCat.

Оставьте дверь гаража открытой: Nexx заботится о вашем душевном спокойствии, но забывает о безопасности

Невиданную безответственность демонстрируют сотрудники компании Nexx, активно игнорирующие проблему.

Три в ряд: очередная уязвимость в Microsoft Azure позволяет хакерам получить контроль над системой жертвы

Компании из Редмонда пора бы всерьёз задуматься о безопасности…

Не играй в Sudo-рулетку: QNAP предупреждает об уязвимости в NAS-устройствах

Выявленная уязвимость затрагивает сразу несколько продуктов компании, в опасности десятки тысяч устройств.

CISA предупреждает о критических уязвимостях в промышленных системах управления нескольких крупных поставщиков электроники

Под угрозой программное обеспечение Delta Electronics и Rockwell Automation.

Вымогательское ПО IceFire атакует корпоративные сети на базе Linux

Входной точкой хакеров стала уязвимость в файловом сервере IBM Aspera Faspex.

Критические уязвимости в ПО Wago позволили хакерам получить полный контроль над микроконтроллерами компании

CERT раскрыла все найденные уязвимости и дала каждой подробную характеристику.

Cisco исправила критическую уязвимость в ряде своих IP-телефонов

При этом компания не планирует обновлять старые серии оборудования, оставляя тысячи устройств уязвимыми.

Критические уязвимости в плагине WordPress Houzez позволяют захватить веб-сайт

Неправильные конфигурации плагина позволяют повысить привилегии и создать профиль администратора.

OpenSSL устранила ошибку раскрытия памяти, обновить ПО нужно как можно скорее

Всего исправлено 8 уязвимостей, позволявших злоумышленникам совершать вредоносные действия на скомпрометированных устройствах.

В программном обеспечении American Megatrends выявили новые уязвимости

В центре внимания снова серверные решения AMI MegaRAC BMC.

Белые хакеры скоро выложат в открытый доступ эксплойт VMware vRealize Log RCE

Нашумевшая группировка Horizon3 вновь демонстрирует, почему важно вовремя устанавливать обновления безопасности.

3 уязвимости в системах автоматизации ставят под угрозу глобальную цепочку поставок

Мишенью хакеров могут стать автоматизированные промышленные контроллеры и ПО, используемые в критической инфраструктуре.

CISA предупреждает об уязвимостях в промышленных комплектах Advantech и Hitachi

Критические ошибки позволяют злоумышленнику получить доступ к устройству и заблокировать его.

Критическая ошибка Siemens позволяет злоумышленнику украсть криптографические ключи

Уязвимость позволяет получить полный доступ к широкому спектру устройств.

Уязвимости в устройствах HP для бизнеса не исправлены спустя год после обнаружения

Клиентам придется самостоятельно усилить защиту и обезопасить устройства.

Оценка CVSS вводит специалистов в заблуждение и меняет приоритеты защиты

Исследователи: оценка уязвимостей CVSS неверна на 50%.

MITRE показал уязвимые ко взлому IoT-устройства

Злоумышленник может просмотреть трансляцию с камеры или взломать её

Представлена система оценки вероятности использования уязвимостей в реальных атаках

Система EPSS позволит организациям определять, может ли уязвимость эксплуатироваться в атаках и нужно ли действительно ее исправлять.

CVSS назвали неэффективной для оценки уязвимостей АСУ ТП

Из-за низкой оценки CVSS пользователи могут проигнорировать опасные уязвимости.

Исследователи подвергли сомнению актуальность общей системы оценки уязвимостей

По мнению экспертов, система не предоставляет наиболее необходимой информации о том, используется ли уязвимость в реальном времени для атак на компьютерные системы.