Агент ноль-ноль-дырка. Разбираем CVE в популярном ИИ-инструменте Langflow

Для подписчиков
Не успели отойти от CVE в n8n, как по сообществу ИИ-разработчиков был нанесен новый мощный удар. На этот раз уязвимость нашли в популярном конструкторе Langflow. Баг позволяет удаленно выполнить команды за один запрос.
Для защиты цепочки поставок в npm по умолчанию отключили установочные скрипты

Инженеры GitHub представили npm 12, в котором серьезно переработали безопасность механизма установки зависимостей. Lifecycle-скрипты, зависимости из Git-репозиториев и зависимости, устанавливаемые по удаленным URL, теперь требуют явного разрешения разработчика.
Дата: 14 Июля 2026 12:30:17Исследователи сбросили пароль кошелька Tangem с помощью лазера

Исследователи из команды Ledger Donjon продемонстрировали атаку на аппаратные криптокошельки Tangem. Точно направленный лазерный импульс вынуждает чип карты перейти в режим восстановления и принять любой новый пароль, выбранный атакующим. Знать старый пароль или иметь вторую карту из комплекта не требуется.
Дата: 14 Июля 2026 10:30:59ЕС ввел санкции против VK и разработчика мессенджера Max

Власти Евросоюза внесли в санкционные списки VK и ООО «Коммуникационная платформа», стоящее за разработкой мессенджера Max. В Совете ЕС утверждают, что сервисы VK помогают властям следить за пользователями и преследовать авторов запрещенного контента. Представители VK заявили, что эти ограничения не повлияют на работу приложений.
Дата: 14 Июля 2026 08:30:27Администраторам Progress рекомендовали срочно отключить серверы ShareFile

В компании Progress Software выпустили срочное предупреждение для администраторов ShareFile, в котором сообщили о «реальной внешней угрозе», нацеленной на Storage Zone Controller. Администраторам рекомендовали немедленно вручную отключить Windows-серверы с контроллерами. Одновременно сотрудники компании заблокировали использующим Storage Zone Controller клиентам доступ к ShareFile.
Дата: 13 Июля 2026 17:30:21СМИ: пользователей хостинга могут обязать проходить идентификацию через «Госуслуги»

По информации «Коммерсанта», представители Минцифры обсуждают с российскими хостинг-провайдерами обязательную идентификацию клиентов через «Госуслуги». Ведомство хочет привязать каждый выделенный IP-адрес к конкретному пользователю с подтвержденной учетной записью. Представители отрасли предупреждают, что новые правила могут вынудить часть клиентов перейти на зарубежные площадки.
Дата: 13 Июля 2026 15:30:56HTB CCTV. Раскрываем админскую панель motionEye и повышаем привилегии

Для подписчиков
Веб-панели для администрирования часто закрыты от внешней сети, но после получения SSH-доступа их можно исследовать через туннель и превратить в путь к root. Сегодня я покажу, как это делать, но сначала через SQL-инъекцию вытащим хеши пользователей и подберем пароль для SSH.
Microsoft исправила уязвимость RoguePlanet. Исследователь утверждает, что патч опасен

Разработчики Microsoft выпустили патч для 0-day-уязвимости RoguePlanet в Microsoft Defender, однако исправление могло создать новую проблему. По словам исследователя Nightmare Eclipse, теперь атакующие могут вынудить Defender записывать на диск огромные файлы, пока свободное место не закончится.
Дата: 13 Июля 2026 12:30:30Один из разработчиков OpenMandriva Linux пытался саботировать проект

Разработчики OpenMandriva Linux заявили о попытке внутреннего саботажа, произошедшей после конфликта между участниками проекта. Бывший контрибьютор с административными правами удалил репозитории с GitHub и опубликовал в тестовой ветке пустой пакет, который мог нарушить работу систем пользователей.
Дата: 13 Июля 2026 10:30:14Зарубежные SIM-карты больше не позволяют обходить блокировки

СМИ сообщают, что трафик абонентов зарубежных операторов, которые подключаются к российским сетям в роуминге, начали фильтровать наравне с обычным мобильным интернетом. В результате иностранные SIM-карты больше не позволяют заходить на сайты и использовать сервисы, заблокированные в РФ.
Дата: 13 Июля 2026 08:30:09