Архивы автора: Александр Леонов

Об авторе Александр Леонов

Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно и моих проектах можете прочитать здесь. Приглашаю подписаться на мой канал @avleonovrus "Управление Уязвимостями и прочее" в MAX или в Telegram. Вы можете обсудить мои посты или задать вопросы в группе ВКонтакте. And I invite all English-speaking people to another Telegram channel @avleonovcom.

Про уязвимость Remote Code Execution - React Server Components "React2Shell" (CVE-2025-55182)

Добавить комментарий

Про уязвимость Remote Code Execution - React Server Components "React2Shell" (CVE-2025-55182). React - популярный опенсурсный JavaScript-фреймворк; для ускорения приложений он позволяет выполнять часть логики на сервере через React Server Components (RSC). Используя уязвимость десериализации недоверенных данных в RSC, удалённый неаутентифицированный злоумышленник может добиться выполнения кода на сервере с помощью специально сформированного HTTP-запроса.

⚙️ Исправления React были выпущены 3 декабря. Уязвимы и другие фреймворки, включающие React, например Next.js, React Router, Expo, Redwood SDK, Waku и другие.

🛠 Публичные эксплоиты доступны с 3 декабря. К 19 декабря на GitHub 250+ проектов эксплоитов и сканеров. 😮

👾 Атаки массовые, фиксируются с 5 декабря. Уязвимость в CISA KEV с 9 декабря.

🌐 Shadowserver детектирует в Интернет более 100 000 уязвимых хостов. Оценка для Рунета от CyberOK - более 40 000 хостов (потенциально), от BIZONE 10 000 - 25 000 хостов. 🤔

Декабрьский Linux Patch Wednesday

Добавить комментарий

Декабрьский Linux Patch Wednesday. В декабре Linux вендоры начали устранять 650 уязвимостей, примерно как и в ноябре. Из них 399 в Linux Kernel. Уязвимостей с признаками эксплуатации вживую нет.

Для 29 уязвимостей доступны публичные эксплоиты или имеются признаки их существования. Можно выделить:

🔸 RCE - JupyterLab Extension Template (CVE-2024-39700), fontTools (CVE-2025-66034), Cacti (CVE-2025-66399), CUPS (CVE-2025-64524)
🔸 XXE - Apache Tika (CVE-2025-66516)
🔸 SQLi - phpPgAdmin (CVE-2025-60797, CVE-2025-60798)
🔸 AuthBypass - cpp-httplib (CVE-2025-66570)
🔸 OpenRedirect - Chromium (CVE-2024-13983)

🗒 Полный отчёт Vulristics

Если выделить основную "юридическую уязвимость" в злободневных кейсах с покупкой квартир - это возможность продавца признать себя неадекватным в момент заключения сделки купли-продажи и (якобы) при передаче вырученных денег третьим лицам

Добавить комментарий

Если выделить основную "юридическую уязвимость" в злободневных кейсах с покупкой квартир - это возможность продавца признать себя неадекватным в момент заключения сделки купли-продажи и (якобы) при передаче вырученных денег третьим лицам. При этом есть случаи, когда покупатели лично общались с продавцами и их родственниками, заверяли сделку у нотариуса и получали справку психиатра, что продавец адекватен. А в итоге классическое "ой, мошенники меня обманули", теряли и квартиру, и деньги.

То, что справка от психиатра фактически не работает сейчас - это большая проблема. Получается, что человек может быть неадекватным на 30 минут заключения любой сделки, а затем отменить её. И никакой защиты от этого нет. 🤷‍♂️

На такую критическую "юридическую уязвимость", требуется (по выражению Ивана Шубина) свой "юридический патч". Т.е. чёткая позиция государства по этому вопросу и принимаемый в судах механизм подтверждения адекватности в момент совершения сделки.

"Slop" стало главным словом 2025 года по мнению редакторов словаря Merriam-Webster

Добавить комментарий

"Slop" стало главным словом 2025 года по мнению редакторов словаря Merriam-Webster. Первоначальное значение этого слова "мягкая грязь", но теперь им обозначают "цифровой контент низкого качества, который обычно производится в большом количестве с помощью искусственного интеллекта".

Пару недель назад Daniel Stenberg, основатель опенсурсного проекта curl, поделился статистикой по багрепортам на HackerOne. Из статистики видно, что количество подтверждённых уязвимостей падает, а общее количество репортов год от года растёт, в том числе из-за стремительного роста генерённого AI Slop-а.

Daniel Stenberg видит проблему в попытках багхантеров использовать неподходящие AI-инструменты:

"AI-чат-боты всегда отвечают, никогда не говорят «нет» и отчаянно стремятся угодить. Им задают вопрос - и они выдают ответ. Очень часто они его просто выдумывают. Они лгут. Люди, которые так ими пользуются, не умеют выявлять и отделять ложь от правды и, по сути, даже не пытаются этого делать."

По поводу сегодняшнего решения Верховного суда

Добавить комментарий

По поводу сегодняшнего решения Верховного суда. Безусловно, отрадно, если теперь мошенникам будет сложнее проворачивать схему "я был в неадеквате, квартиру продавать не хотел, деньги отдал неизвестным - у них ищите".

С другой стороны, не хотелось бы, чтобы текущий дисбаланс в пользу продавца резко сменился дисбалансом в пользу покупателя. Особенно в сомнительных случаях продажи квартиры без личного присутствия и с подачей заявления на регистрацию прав собственности через Госуслуги. 🙄

Реальность такова, что при сделках с недвижимостью всегда будет 100 500 мошеннических схем. Слишком большая ценность стоит на кону.

Поэтому универсальными правилами выглядят:

🔹 Не жалеть денег на профессионалов - риэлторов ориентирующихся в практиках мошенников.

🔹 Фильтровать подозрительные предложения. Выбирать самые надёжные варианты, а не самые выгодные.

🔹 Собирать документы тщательно, заранее готовясь к потенциальному суду.

🔹 Усердно молиться, чтобы в этот раз пронесло. 🙏

Коллеги из Positive Education устроили сегодня новогоднюю вечеринку для задействованных в образовательных программах Positive Technologies

Добавить комментарий

Коллеги из Positive Education устроили сегодня новогоднюю вечеринку для задействованных в образовательных программах Positive Technologies. 🎄 Я в этом году участвовал:

🔹 В практикуме по Vulnerability Management. Было два синхронных потока, обучили 45 слушателей из 15 компаний. Видео для курса я записывал в прошлом и позапрошлом годах, а в этом принимал участие в регулярных созвонах, пояснял темы и отвечал на вопросы. Также курс можно было проходить асинхронно - без привязки к датам, но и без созвонов. Таких обучающихся было ещё около 30 человек. VM-ный практикум запускали одним из первых, а сейчас их уже 16 по разным направлениям! 😲

🔹 В семестровом курсе по Vulnerability Management для магистратуры ИТМО. Читал лекции и проверял практические работы. Очень интересный и приятный опыт. Студенты молодцы!

Коллеги подарили футболку и шоппер "Несу знания". Приятненько. 😇 В следующем году планирую продолжать образовательные активности.

Стартовал Call For Papers на международный фестиваль по кибербезопасности и технологиям PHDays Fest 2026

Добавить комментарий

Стартовал Call For Papers на международный фестиваль по кибербезопасности и технологиям PHDays Fest 2026. Фестиваль пройдёт 28-30 мая в Москве.

🏇 Когда можно подать доклад: с 9 декабря и до 9 марта.

⏳ Длительность доклада: 15 или 50 минут.

🗂 Доступно 20 треков: Offense, Defense, Hardware & Firmware Security, OSINT New Blood, Web3, Development General, Development Data, Development Security, OpenSource & OpenSecurity, AI/ML, AI Security, Devices & Technologies, Научпоп, Архитектура ИБ, ИТ-инфраструктура, Security Leader, Next-Generation SOC, Отличные люди в ИБ, Доказательство ИБ, Антикризисный 2026-й год. Описания треков читайте по ссылке, выбрав трек и нажав на i.

В описании Defense указано "Опыт управления уязвимостями", в AI/ML - "Прогнозирование уязвимостей", в Development Security - "Использование AI для поиска и анализа уязвимостей". 🔥 Присматриваюсь и к OpenSource треку, в прошлом году там было неплохо. 😉