🚨 Apache Airflow: Обход маскировки вложенных секретов (CVE-2026-42358)

Низкая степень опасности. Уязвимости подвержены версии Apache Airflow (apache-airflow) ниже 3.2.2. Из-за ошибки в механизме маскирования Variables при превышении лимита рекурсии для глубоко вложенных JSON-объектов маскер возвращал значения в открытом виде. Публичные эксплойты на данный момент отсутствуют.

Проблема устранена в версии apache-airflow 3.2.2 — обновление закрывает баг и корректно обрабатывает глубоко вложенные ключи с суффиксами password, token, secret и api_key.

<a href="https://seclists.org/oss-sec/2026/q2/748">oss-security →</a>

#уязвимость #ApacheAirflow #CVE-2026-42358 #InfoSec #DataLeak

🚨 Apache Airflow: Обход маскирования чувствительных данных в шаблонах

Низкая степень серьезности. Уязвимости подвержены версии Apache Airflow (apache-airflow) до 3.2.2. Публичные эксплойты отсутствуют, однако баг позволяет утечь чувствительные данные (пароли, токены, ключи API), встроенные в вложенные JSON-структуры, если размер отображаемого шаблона превышает лимит [core] max_templated_field_length.

Патч доступен: уязвимость устранена в версии apache-airflow 3.2.2. Пользователям рекомендуется обновить инсталляцию и проверить логи на предмет возможной утечки маскируемых данных.

<a href="https://seclists.org/oss-sec/2026/q2/747">oss-security →</a>

#уязвимость #ApacheAirflow #DataLeak #CVE

🚨 Нидерланды ликвидировали ботнет из 17 миллионов зараженных устройств

Ботнет, управлявшийся как минимум с 200 серверов на территории Нидерландов, включал компьютеры, смартфоны, планшеты и устройства интернета вещей (IoT). Правоохранительные органы (Politie) и NCSC Нидерландов пресекли деятельность сети, которая использовалась для проведения масштабных злонамеренных атак.

Владельцам скомпрометированных устройств рекомендуется незамедлительно проверить свои системы на наличие вредоносного ПО, сбросить пароли, а также обновить прошивки IoT-устройств и перезагрузить роутеры для разрыва связи с C2-серверами.

<a href="https://thehackernews.com/2026/05/dutch-authorities-dismantle-botnet.html">The Hacker News →</a>

#кибербезопасность #ботнет #IoT #трессинтель #Нидерланды #ликвидацияботнета

🚨 Apache Airflow: Утечка JWT-токенов в аргументах командной строки KubernetesExecutor

Серьезность: Moderate. Уязвимы версии apache-airflow до 3.2.2. Из-за ошибки в KubernetesExecutor JWT-токены, используемые подами для аутентификации в Execution API, передавались в контейнер через аргументы командной строки, что делало их видимыми в спецификации пода. Публичный эксплойт не заявлен, однако утечка возможна со стороны авторизованного пользователя UI/API с правами только на чтение в Kubernetes (например, pods/get в неймспейсе Airflow).

Патч: Уязвимость устранена в версии 3.2.2, рекомендуется срочное обновление. В качестве митигации до обновления следует максимально ограничить доступ на чтение спецификаций подов (pods/get) в кластере Kubernetes.

<a href="https://seclists.org/oss-sec/2026/q2/754">oss-security →</a>

#уязвимость #ApacheAirflow #Kubernetes #JWT #УтечкаТокенов #K8s

🚨 Apache Airflow: JWT-токены остаются валидными после выхода из системы (CVE-2026-48726)

Уровень опасности: Moderate. Затронуты версии Apache Airflow до 3.2.2. Из-за ошибки в логикеlogout-авторизации для FabAuthManager и KeycloakAuthManager вызов revoke_token() оказывался недостижимым, в результате чего выпущенные JWT-токены продолжали приниматься API-сервером вплоть до своего естественного истечения. Публичные эксплоиты на данный момент неизвестны.

Патч доступен: уязвимость устранена в версии apache-airflow 3.2.2, обновление обязательно.

<a href="https://seclists.org/oss-sec/2026/q2/753">oss-security →</a>

#уязвимость #ApacheAirflow #JWT #Авторизация #CVE

🚨 Apache Airflow: Обход DAC-фильтра прав доступа в endpointе Event Log

Низкая. Уязвимы версии Apache Airflow (apache-airflow) до 3.2.2. Endpoint деталей GET /api/v2/eventLogs/{event_log_id} получал записи аудита напрямую по ID после общей проверки прав, игнорируя изоляцию на уровне DAG, которая применялась в endpointе коллекции. Авторизованный пользователь с правом чтения аудит-лога одного DAG мог извлекать записи других DAG; публичные эксплойты неизвестны.

Патч доступен: необходимо обновить Apache Airflow до версии 3.2.2 или выше.

<a href="https://seclists.org/oss-sec/2026/q2/752">oss-security →</a>

#уязвимость #ApacheAirflow #IDOR #AccessControl #AuditLog

⚡ Кремниевая долина смело легализует допинг: стартуют Enhanced Games — «Олимпийские игры на стероидах», спонсируемые IT-индустрией

Соревнования, где большинство атлетов открыто используют PED (допинг) и пептиды для улучшения результатов, могут положить начало новой бизнес-модели. Кремниевая долина активно инвестирует в биохакинг и фарму, видя в легальном допинге перспективный рынок, способный радикально изменить индустрию спорта и здоровья, где границы улучшения человеческого тела будут определяться лишь толщиной кошелька и технологиями.

<a href="https://techcrunch.com/2026/05/31/i-went-to-the-so-called-steroid-olympics-to-understand-why-silicon-valley-is-obsessed-with-peptides/">TechCrunch →</a>

#инновации #биотех #биохакинг #EnhancedGames #пептиды #допинг #стартапы

⚡ Линукс избавится от драйверов протокола Microsoft RNDIS: удаление намечено на 2026 год

Речь идет о драйверах Remote NDIS, которые уже давно признаны серьезной угрозой безопасности, поскольку на смену им пришли более современные и защищенные альтернативы. Патч на отключение этих компонентов затрагивает функционал tethering-подключений через USB; ожидается, что изменения будут внедрены в ядро Linux в течение 2026 года, что сделат систему безопаснее, но лишит поддержки старые Windows-гаджеты.

<a href="https://www.phoronix.com/news/RNDIS-Disable-Linux-2026-Patch">Phoronix →</a>

#железо #linux #ядро #rndis #безопасность #драйверы

⚡ Поддержка геймпадов ASUS ROG RAIKIRI II и Nova 2 Lite готовится к внедрению в Linux 7.1-rc6

В новой предварительной сборке ядра Linux 7.1-rc6 добавлены исправления для подсистемы ввода, среди которых — включение поддержки контроллеров ASUS ROG RAIKIRI II и Nova 2 Lite. Патчи уже попали в текущий цикл разработки, поэтому геймпады будут корректно распознаваться системой сразу после релиза ветки 7.1, что избавит пользователей от необходимости ручного маппинга.

<a href="https://www.phoronix.com/news/Linux-7.1-rc6-Input">Phoronix →</a>

#железо #linux #ядро #asus #геймпад #input #linux71

🚨 Хакеры эксплуатируют уязвимость в WP Maps Pro для создания скрытых админов на WordPress-сайтах

🔧 Технические детали: Злоумышленники атакуют сайты на WordPress, использующие уязвимую версию плагина WP Maps Pro. Баг позволяет неавторизованным пользователям создавать учетные записи администраторов с полными правами доступа к сайту. Атака носит массовый характер и не требует прохождения аутентификации.

🛡 Рекомендуемые действия: Немедленно обновите плагин WP Maps Pro до последней исправленной версии. Обязательно проверьте список зарегистрированных пользователей в панели управления WordPress на наличие неизвестных аккаунтов с правами администратора и удалите их, а также сбросьте пароли для всех легитимных админов.

<a href="https://www.bleepingcomputer.com/news/security/wp-maps-pro-bug-exploited-to-create-admin-accounts-on-wordpress-sites/">BleepingComputer →</a>

#кибербезопасность #WordPress #WP_Maps_Pro #уязвимость #веббезопасность #взлом

🔥 Черные основатели привлекли максимум стартап-финансирования за квартал с 2022 года, но с серьезной оговоркой.

Несмотря на рекордные показатели объема инвестиций, значительная часть этого ралли обеспечена всего несколькими крупными раундами, а не системным ростом. По словам главы исследований Crunchbase Гене Тир, ключевые барьеры на пути капитала остаются прежними: «доступ к сетям, связям и ранним представлениям». Это значит, что структурный разрыв в финансировании DEI-стартапов пока не преодолен.

<a href="https://techcrunch.com/2026/05/31/black-founders-raise-highest-amount-of-quarterly-funding-since-2022-but-theres-a-catch/">TechCrunch →</a>

#инновации #стартапы #венчур #финансирование #DEI #BlackFounders

⚡ Tech-CEO обвиняют в «AI-психозе»: обсуждаем новую Epidemic в подкасте Equity

В свежем выпуске Equity разбирают феномен «AI-пychosis» — иррациональной веры гендиректоров в то, что ИИ решит всё. В дискуссии участвуют топ-менеджеры и инвесторы, включая Аарона Леви (Box) и представителей Google и DuckDuckGo. Для индустрии это важный звоночек: эпидемия хайпа заставляет стартапы вкладывать миллионы в ИИ-фичи без четкой бизнес-логики, что повышает риски коллапса на рынке.

<a href="https://techcrunch.com/2026/05/31/making-sense-of-the-debate-over-ai-psychosis/">TechCrunch →</a>

#инновации #ИИ #AIPsychosis #стартапы #техлидеры #EquityPodcast

⚡ Джони Айв спроектировал электрическую Ferrari, которая вызвала ненависть в сети — но для бренда это не имеет значения

В центре внимания нового выпуска TechCrunch Mobility — электрическое купе Ferrari Luce, дизайн которого создал легендарный Джони Айв. Несмотря на шквал критики в интернете, для архитектуры премиального бренда этот спор лишь усиливает ажиотаж. Кроме того, в выпуске разбирают тренды рынка роботакси на примере Waymo, планы Rivian и амбиции newcomer’а Slate Auto на фоне растущего влияния ИИ в транспортной отрасли.

<a href="https://techcrunch.com/2026/05/31/techcrunch-mobility-it-doesnt-matter-that-people-hate-the-ferrari-luce/">TechCrunch →</a>

#инновации #Ferrari #ДжониАйв #электромобили #роботакси #Waymo #Rivian #SlateAuto

⚡ KDE Linux вычистила устаревший и неиспользуемый софт из базового образа

В ежемесячном отчете за май 2026 года разработчик Нейт Грэм объявил о масштабном удалении небезопасных и давно не используемых пакетов из дистрибутива KDE Linux. Это позитивно скажется на безопасности системы и уменьшит размер установки, снижая нагрузку на накопитель и сеть при обновлениях. Изменения уже доступны в актуальных сборках дистрибутива.

<a href="https://www.phoronix.com/news/KDE-Linux-May-2026">Phoronix →</a>

#железо #linux #kde #kdelinux #безопасность #дистрибутивы

🚨 Apache ActiveMQ: Раскрытие данных постоянных подписок (Durable Subscription Disclosure)

Умеренная опасность. Уязвимость затрагивает компоненты ActiveMQ (broker, all, apache-activemq) веток 5.x (от 5.14.0 до 5.19.7) и 6.x (от 6.0.0 до 6.2.6). Проблема возникает при обработке специального пакета BrokerInfo по протоколу OpenWire, статус наличия публичного эксплойта на данный момент неизвестен.

Патчи доступны: необходимо обновить Apache ActiveMQ 5.x до версии 5.19.7, а ветку 6.x — до 6.2.6.

<a href="https://seclists.org/oss-sec/2026/q2/760">oss-security →</a>

#уязвимость #ApacheActiveMQ #OpenWire #InfoLeak #CVE-2026-49270

🚨 Apache ActiveMQ: Некорректные права по умолчанию позволяют малопривилегированным пользователям управлять брокером через Jolokia

Уровень опасности: Important. Затронуты версии Apache ActiveMQ до 5.19.7, а также ветка 6.0.0–6.2.5. Из-за неверных дефолтных настроек авторизации Jolokia, аутентифицированные веб-пользователи с низкими привилегиями по умолчанию сохраняют доступ к функциям управления брокером. Публичные эксплоиты на данный момент не заявлены.

Патч доступен: рекомендуется обновление до Apache ActiveMQ 5.19.7+ или 6.2.6+, где внесены изменения в дефолтные политики Jolokia.

<a href="https://seclists.org/oss-sec/2026/q2/759">oss-security →</a>

#уязвимость #ApacheActiveMQ #Jolokia #IncorrectDefaultPermissions #privilege_escalation

🚨 Apache ActiveMQ: Некорректная авторизация при удалении destination

Умеренная уязвимость (CVE-2026-46605) позволяет обойти проверки авторизации в процессе удаления назначения (destination). Проблема затрагивает версии пакетов activemq-broker, activemq-all и apache-activemq до 5.19.7, а также ветку 6.0.0 — до 6.2.6. Публичные эксплойты на данный момент отсутствуют.

Патч доступен: необходимо обновить брокер до версии 5.19.7 или 6.2.6 в зависимости от используемой ветки.

<a href="https://seclists.org/oss-sec/2026/q2/758">oss-security →</a>

#уязвимость #ApacheActiveMQ #ActiveMQ #AuthorizationBypass #CVE-2026-46605

🚨 Apache ActiveMQ: обход ограничения Discovery Wrapper в Jolokia (addNetworkConnector)

Важность: Important. Уязвимости подвержены Apache ActiveMQ (включая пакеты activemq-broker и activemq-all) версий до 5.19.7, а также ветки 6.0.0 — до 6.2.6. Общедоступный эксплойт на данный момент отсутствует, однако брешь позволяет обойти механизмы контроля доступа Jolokia через метод addNetworkConnector.

Патчи доступны: обновитесь до Apache ActiveMQ 5.19.7+ или 6.2.6+ соответственно.

<a href="https://seclists.org/oss-sec/2026/q2/757">oss-security →</a>

#уязвимость #ApacheActiveMQ #Jolokia #RCE #Amqp #ИнформационнаяБезопасность

🚨 Apache ActiveMQ: Удаленное выполнение кода через Jolokia (RCE)

Серьезность: Important. Уязвимость затрагивает версии Apache ActiveMQ (включая пакеты activemq-broker, activemq-all, apache-activemq) до 5.19.7 и ветки 6.0.0 до 6.2.6. Статус публичного эксплоита в анонсе не раскрыт, однако RCE через Jolokia представляет крайне высокий риск для инсталляций брокера с доступным API.

Патчи доступны: необходимо обновить ActiveMQ 5.x до версии 5.19.7, а ветку 6.x — до 6.2.6. В качестве митигации рекомендуется строго ограничить доступ к интерфейсу Jolokia и отключить его, если он не используется.

<a href="https://seclists.org/oss-sec/2026/q2/756">oss-security →</a>

#уязвимость #ApacheActiveMQ #RCE #Jolokia #0day

🚨 Apache ActiveMQ: HTTP Response Header Injection via JMS Message Properties

Важная уязвимость (Severity: important) затрагивает Apache ActiveMQ и ActiveMQ Web (версии до 5.19.7 и ветка 6.0.0 до 6.2.6). Из-за некорректной нейтрализации входных данных при генерации веб-страниц злоумышленник может осуществить инъекцию HTTP-заголовков через свойства JMS-сообщений. Статус публичной доступности эксплойта в Advisory не указан.

Для устранения уязвимости необходимо обновить Apache ActiveMQ и ActiveMQ Web до версии 5.19.7 или 6.2.6 (и выше).

<a href="https://seclists.org/oss-sec/2026/q2/755">oss-security →</a>

#уязвимость #ApacheActiveMQ #ActiveMQ #XSS #HeaderInjection #CWE79