Новости: уязвимость

MongoDB “MongoBleed” под активной эксплуатацией! CISA бьет тревогу об уязвимости CVE-2025-14847, сравнимой с Heartbleed. Обновляйтесь срочно или отключайте zlib! Не думали же вы, что отдохнете без кибер-инцидентов?

Критическая уязвимость React2Shell позволяет удалённо выполнять код на серверах. Эксперты подтвердили активное использование злоумышленниками, включая группировки, связанные с Китаем. Уязвимость затрагивает стандартные конфигурации React и Next.js, требуя немедленного обновления и активного поиска признаков взлома.

MongoDB призывает к немедленному обновлению из-за критической уязвимости (CVE-2025-14847), позволяющей неавторизованный доступ к памяти. Узнайте, как защитить свои данные и какие версии MongoDB подвержены риску. Рекомендации по обновлению и обходу проблемы.

Polymarket подтвердила взлом кошельков пользователей из-за уязвимости у стороннего провайдера аутентификации. Пользователи жаловались на списания средств после входа. Платформа заявила об устранении проблемы, но детали не раскрыла.

Riot Games вводит новое требование к обновлению BIOS для античита Vanguard в Valorant из-за уязвимости UEFI. Изначально коснется лишь части игроков, но может быть расширено. Обновления BIOS доступны для материнских плат Intel и AMD последних поколений.

Критическая уязвимость в межсетевых экранах WatchGuard Firebox уже активно эксплуатируется. Компания выпустила экстренные исправления и временные решения для защиты устройств, доступных через Интернет. Уязвимость CVE-2025-32978 позволяет удаленно выполнять код без аутентификации.

WatchGuard выпустила экстренное уведомление о критической уязвимости CVE-2025-14733 в межсетевых экранах Firebox. Ошибка типа “Out-of-bounds Write” в iked позволяет удаленно выполнять произвольный код. Уязвимость нулевого дня уже активно эксплуатируется. Рекомендуется срочно обновить ПО и проверить устройства на компрометацию.

Критическая уязвимость в HPE OneView (CVE-2025-37164) позволяет злоумышленникам удаленно выполнять код без аутентификации на платформе управления инфраструктурой. Установка немедленных исправлений или обновление до версии 11.0 является обязательным для защиты от компрометации всей корпоративной сети.

Cisco Talos обнаружила киберкампанию, нацеленную на ПО Cisco AsyncOS для Secure Email Gateway. Уязвимость затрагивает функцию карантина спама и может представлять высокий риск, так как атака может быть осуществлена через внутренние сети. Для устранения угрозы рекомендуется полная переустановка устройств.

Эксперты по кибербезопасности бьют тревогу: критическая уязвимость CVE-2025-37164 в HPE OneView позволяет удаленно выполнять код без аутентификации. Требуется немедленное применение патча, так как эксплойт может быть использован злоумышленниками. Уязвимость затрагивает все последние версии ПО.