Каждая установка KnowledgeDeliver до 24 февраля 2026 года содержала один и тот же hardcoded ASP.NET machineKey. Один утёкший секрет, один ViewState-пейлоад — полный RCE.
Verizon DBIR 2026 показал: эксплуатация уязвимостей обогнала кражу учётных данных как главный вектор первоначального доступа. Патчинг — теперь проблема мощности, а не дисциплины.
Claude Mythos Preview от Anthropic обнаружил более 10 000 уязвимостей нулевого дня за месяц. Исправлено только 97. 90-дневное окно раскрытия перестало иметь смысл.
За три дня ИИ-пайплайн нашёл более 300 zero-day уязвимостей в плагинах WordPress по $20 за каждую. Инфраструктура раскрытия не справляется, а злоумышленники уже используют те же методы.
TeamPCP похитила 3 800 внутренних репозиториев GitHub через отравленное расширение Nx Console за 18 минут. Главный урок — как платформенные команды оценивают риски инструментов разработки.
Критическая уязвимость Drupal Core CVE-2026-9082 позволяет анонимным атакующим проводить SQL-инъекцию на сайтах с PostgreSQL, что может привести к удалённому выполнению кода.
Zero-day в Exchange OWA активно эксплуатируется, CISA добавила уязвимость в KEV, а Microsoft не даёт сроков патча. Скучные баги продолжают побеждать.
