Следуйте инструкциям в видео ниже, чтобы узнать, как установить наш сайт как веб-приложение на главный экран вашего устройства.
Примечание: Эта функция может быть недоступна в некоторых браузерах.
Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём неправильно. Необходимо обновить браузер или попробовать использовать другой.
Cisco Talos раскрыл 7 CVE в GeoVision LPC2011/LPC2211: CVE-2026-42364 (OS command injection, CVSS 9.9) и CVE-2026-42368 (privilege escalation, CVSS 9.9) в связке дают root через веб-интерфейс камеры на КПП или парковке.
CGI-обработчик DdnsSetting.cgi в прошивке 1.10 передаёт параметры напрямую в shell без санитизации — инъекция через `;` или `$(...)` исполняется от root. CVE-2026-42368 (CWE-266) открывает привилегированные эндпоинты без проверки авторизации, а CVE-2026-42363 (CVSS 9.3) сливает credentials для первоначального доступа.
Traefik ForwardAuth пропускает без credentials: CVE-2026-35051 и CVE-2026-39858 (CVSS 7.8) обходят аутентификацию одним заголовком — X-Forwarded-Prefix или X_Forwarded_Proto с underscore вместо дефиса.
CVE-2026-35051 бьёт по конфигурациям с trustForwardHeader=false за AWS ALB, Nginx или Cloudflare: Traefik не санитизирует X-Forwarded-Prefix, и клиентское значение уходит в auth-сервис (Authelia, oauth2-proxy) — тот возвращает 200 вместо 401. MITRE T1190 → T1078: за ForwardAuth сразу Grafana, Portainer, Kubernetes Dashboard.
CVE-2026-39858 — underscore-bypass: фильтр таргетирует только канонические дефисные заголовки, underscore-варианты проходят насквозь.
trustForwardHeader=false считается «безопасной» настройкой — но X-Forwarded-Prefix она не блокирует.
Semgrep-скан 40 open-source проектов с Stripe-интеграцией выявил: 14 из них не вызывают constructEvent() вообще — CVE-2026-21894 в n8n подтвердил, что паттерн живёт в продуктах с десятками тысяч инсталляций.
Webhook-эндпоинт принимает POST, парсит JSON, читает type: "payment_intent.succeeded" и запускает бизнес-логику без единой проверки заголовка Stripe-Signature. По MITRE T1190 — это Initial Access одним HTTP-запросом: никакого lateral movement, privilege escalation, закрепления. Endpoint предсказуем: /webhooks/stripe, /api/webhooks/payment. GitHub Code Search по "payment_intent.succeeded" NOT constructEvent находит тысячи файлов.
Webhook-эндпоинт обрабатывает бизнес-события — ни один Sigma-rule из коробки его не мониторит. Слепая зона SIEM.
CVE-2026-45131 + CVE-2026-45132 (CVSS 10.0): анонимный GitHub-аккаунт, один fork PR — и Docker Hub credentials, PAT и SSH-ключ подписи коммитов утекли без единого клика со стороны maintainer'а.
Уязвимость живёт в триггере pull_request_target: он запускает workflow в привилегированном контексте base branch, но checkout тянет код из форка атакующего. Итог — T1195.001 Initial Access через вредоносный initContainer в Helm-шаблоне с зелёным бейджем Verified.
Фикс — коммит fcf9302. Но паттерн CWE-94 воспроизводится за 30 секунд через GitHub Code Search в тысячах репозиториев.
Привилегированный workflow выглядит чистым — вредоносный код живёт в форке, EDR его не видит.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
На данном сайте используются файлы cookie, чтобы персонализировать контент и сохранить Ваш вход в систему, если Вы зарегистрируетесь.
Продолжая использовать этот сайт, Вы соглашаетесь на использование наших файлов cookie.