За три дня ИИ-пайплайн нашёл более 300 zero-day уязвимостей в плагинах WordPress по $20 за каждую. Инфраструктура раскрытия не справляется, а злоумышленники уже используют те же методы.
TeamPCP похитила 3 800 внутренних репозиториев GitHub через отравленное расширение Nx Console за 18 минут. Главный урок — как платформенные команды оценивают риски инструментов разработки.
Критическая уязвимость Drupal Core CVE-2026-9082 позволяет анонимным атакующим проводить SQL-инъекцию на сайтах с PostgreSQL, что может привести к удалённому выполнению кода.
Zero-day в Exchange OWA активно эксплуатируется, CISA добавила уязвимость в KEV, а Microsoft не даёт сроков патча. Скучные баги продолжают побеждать.
CVE-2026-44578 превращает WebSocket upgrade в Next.js в прокси для атакующего. Self-hosted приложения уязвимы, Vercel — нет. Патч доступен.
Переполнение кучи в модуле rewrite NGINX оставалось незамеченным 18 лет. CVE-2026-42945 позволяет неаутентифицированному атакующему выполнить RCE одним HTTP-запросом.
Nitrogen заявляет о похищении 8 ТБ и 11 миллионов файлов с заводов Foxconn в Северной Америке, включая карты топологии сетей Intel, Google и AMD.
