За последние две недели в мире технологий произошло несколько важных событий: от критических уязвимостей до экспериментов с ИИ и новых российских разработок. Сперва коротко о самом интересном:
- ИИ помог перевести старое Linux-приложение с GTK2 на GTK4 и Vulkan — разработчик из Red Hat за 5 часов модернизировал 20-летний код с помощью AI-ассистента. С одной стороны эксперимент показал, как ИИ может ускорить ускорить модернизацию legacy-кода, с другой — что такой ассистент все еще требует тщательного контроля со стороны разработчика из-за некорректной интерпретации задач.
- В России появился аналог Grafana — «Графиня» — новая платформа для визуализации данных, полностью написанная с нуля. Разработка «Лаборатории числитель» не использует код Grafana, поддерживает интеграцию с Zabbix, Prometheus и другими системами и уже зарегистрирована в реестре Минцифры России.
- Роскомнадзор заблокировал SpeedTest — сервис измерения скорости интернета признан угрозой безопасности, вместо него предлагают использовать российские аналоги.
А теперь — подробнее о свежих киберугрозах.
Уязвимость в Post SMTP угрожает 200 000 сайтов на WordPress
Более 200 000 сайтов на WordPress подвержены атакам из-за уязвимости в плагине Post SMTP. Ошибка позволяет злоумышленникам получать доступ к администраторским аккаунтам.
Post SMTP — популярный почтовый плагин с 400 000+ активных установок. В мае 2025 года исследователь обнаружил баг (CVE-2025-24000, 8.8 по CVSS) в механизме контроля доступа REST API. Плагин проверял авторизацию пользователя, но не его уровень прав. Как следствие, любые пользователи, не имеющие расширенных прав (например, подписчики), могут просматривать логи писем, включая конфиденциальные данные. А злоумышленники имеют возможность инициировать сброс пароля администратора, перехватить письмо и получить контроль над сайтом.
Разработчик выпустил патч в версии 3.3.0 (11 июня 2025), но только 48,5% пользователей обновились. Около 24% до сих пор используют устаревшие версии 2.x, подверженные и другим уязвимостям. Рекомендуется срочно обновить Post SMTP до актуальной версии.
Фишинг-атака на разработчиков PyPI: злоумышленники имитируют официальные уведомления
Администраторы PyPI (Python Package Index) предупредили о новой фишинг-атаке, направленной на владельцев Python-пакетов. Злоумышленники рассылали письма с поддельного домена pypj.org (вместо pypi.org), предлагая подтвердить email.
Как это работало. Письма приходили с адреса noreply@pypj.org и содержали ссылку на фейковую страницу верификации. Сайт-клон повторял дизайн официального PyPI, чтобы обмануть невнимательных пользователей.
В результате атаки злоумышленники получили доступ к аккаунтам разработчиков, создали два токена для API. А кроме того, выпустили вредоносные версии популярного пакета num2words (3+ млн загрузок в месяц), который конвертирует числа в слова.
Рекомендации: внимательно проверять домен в письмах и ссылках и использовать двухфакторную аутентификацию для защиты аккаунтов.
Критическая уязвимость в SUSE Manager: удалённое выполнение команд с root-правами
Обнаружена опасная уязвимость (CVE-2025-46811, 9.3/10 по CVSS) в SUSE Manager — системе управления Linux-инфраструктурой. Она позволяет выполнять любые команды с правами root без аутентификации на всех подключённых системах.
Проблема в обработчике WebSocket (/rhn/websocket/minion/remote-commands), который не проверяет авторизацию. Атакующий может отправить запрос на 443 порт сервера SUSE Manager без SessionId и получить полный контроль над инфраструктурой.
Уязвимы все сборки SUSE Manager до версий 4.3.16, 5.0.5, включая образы SLES15-SP4-Manager-Server и контейнеры. Необходимо срочно обновиться до исправленных версий: SUSE Manager 4.3.16 и SUSE Manager 5.0.5.
Угроза крайне критична, так как позволяет злоумышленникам захватить управление всей корпоративной инфраструктурой.
Уязвимость в ядре Linux угрожает безопасности Chrome
Google обнаружил критическую уязвимость (CVE-2025-38236) в ядре Linux, позволяющую злоумышленникам обойти песочницу (sandbox) Chrome и выполнить произвольный код с правами ядра. Проблема затрагивает ядра Linux версий 6.9 и выше.Ошибка связана с флагом MSG_OOB в UNIX-сокетах (AF_UNIX), который позволяет передавать внеполосные данные. Несмотря на то, что этот флаг редко используется, его некорректная обработка в ядре приводит к use-after-free уязвимости.
Как это влияет на Chrome? В Chrome разрешены операции с UNIX-сокетами, включая send()/recv() с флагом MSG_OOB. Уязвимость позволяет преодолеть изоляцию песочницы, если злоумышленник уже эксплуатирует другую ошибку в браузере.
Рекомендуется обновить ядро Linux до одной из исправленных версий и ограничить использование MSG_OOB, если он не требуется в системе.Исправление включено в обновления 6.1.143, 6.6.96, 6.12.36, 6.15.5. В сети уже появился рабочий прототип эксплоита.
Уязвимость особо опасна для серверов и рабочих станций, где Chrome используется для обработки ненадёжного контента.
Возможно, вам будет интересно
