Microsoft patch tuesday:
- 167 zranitelností včetně 2 zero-days (Sharepoint, Defender)
- 8 kritických, z toho 7 RCE (.NET, Office, Remote desktop client, AD, IKE, TCP/IP(!))
- bez započítání 80 opravených zranitelností v Edge / Chromiu

Velmi zajímavě vypadá CVE-2026-33827: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33827

Vychází i oprava pro Windows 10 (pokud máte LTSC nebo placenou podporu).

Dále Adobe opravuje své produkty, včetně opravy větší zranitelnosti v Readeru. Doporučuje se aktualizovat ASAP.

#kybez

Anthropic built an AI model called Mythos that autonomously found a 17-year-old remote code execution vulnerability in FreeBSD. No human involvement after the initial prompt. It found thousands more zero-days across every major OS and browser, some hiding for decades. Anthropic says it's too dangerous to release publicly, so they gave it to AWS, Microsoft, Apple, Google, CrowdStrike, and a handful of others under a new initiative called Project Glasswing. $100M in usage credits to go fix things before similar capabilities go wide.

Impressive, but worth some skepticism. Bruce Schneier pointed out this is also a very effective PR play. A security firm called Aisle replicated many of the same findings using older, cheaper, publicly available models. The gap between "too dangerous to release" and "already achievable with what's out there" may be thinner than the headlines suggest.

🔒 Mythos autonomously discovered and exploited a FreeBSD RCE that had been present for 17 years (CVE-2026-4747)
🔗 It chains 3-5 vulnerabilities together into multi-step attack sequences
📊 Over 99% of the vulnerabilities found are still unpatched, so we're trusting Anthropic's claims on scope
💰 $25/$125 per million input/output tokens for partners, if you're on the list

Meanwhile, the advice cybersecurity experts are giving the rest of us: update your software, use MFA, get a password manager. The most advanced AI vulnerability scanner ever built, use off-line (truly air-gapped) backups, and basic hygiene is still the best defense most people have.

https://www.crn.com/news/security/2026/5-things-to-know-on-anthropic-s-claude-mythos-and-project-glasswing
#CyberSecurity #AI #ProjectGlasswing #security #privacy #cloud #infosec

Google Patches Actively Exploited Chrome Zero-Day CVE-2026-5281 — CISA Deadline Hits Today
#CyberSecurity
https://securebulletin.com/google-patches-actively-exploited-chrome-zero-day-cve-2026-5281-cisa-deadline-hits-today/

🚨 Fortinet just disclosed CVE-2026-39808 and CVE-2026-39813 - 2 critical vulnerabilities affecting FortiSandbox. No active exploitation itw reported as of yet.

Scan your infrastructure to find vulnerable instances:
CVE-2026-39808: https://github.com/rxerium/rxerium-templates/blob/main/2026/CVE-2026-39808.yaml
CVE-2026-39813: https://github.com/rxerium/rxerium-templates/blob/main/2026/CVE-2026-39813.yaml

CVE-2026-39808 (CVSS 9.1):
An Improper Neutralization of Special Elements used in an OS Command ('OS command injection') vulnerability [CWE-78] in FortiSandbox may allow an unauthenticated attacker to execute unauthorized code or commands via crafted HTTP requests.

CVE-2026-39813 (CVSS 9.1):
A Path Traversal vulnerability [CWE-24] in FortiSandbox JRPC API may allow an unauthenticated attacker to bypass authentication via specially crafted HTTP requests.

Patches are available as per vendor advisories:
https://fortiguard.fortinet.com/psirt/FG-IR-26-112
https://fortiguard.fortinet.com/psirt/FG-IR-26-100

Adobe Acrobat Zero-Day CVE-2026-34621: Four Months of Targeted Espionage via Prototype Pollution Exploit
#CyberSecurity
https://securebulletin.com/adobe-acrobat-zero-day-cve-2026-34621-four-months-of-targeted-espionage-via-prototype-pollution-exploit/

En las últimas 24 horas, expertos revelan técnicas avanzadas para explotar CVE-2024-30085, analizan una vulnerabilidad crítica en drivers Minifilter, y alertan sobre fallas críticas en PHP Composer que permiten ejecución arbitraria. Además, se destacan riesgos en Hyper-V y novedades en gestión segura de identidades no humanas y en IA para seguridad ofensiva. Descubre estos y más detalles en el siguiente listado de noticias sobre seguridad informática:

🗞️ ÚLTIMAS NOTICIAS EN SEGURIDAD INFORMÁTICA 🔒
====| 🔥 LO QUE DEBES SABER HOY 15/04/26 📆 |====

🔍 EXPLOITING REVERSING: TÉCNICAS AVANZADAS PARA CVE-2024-30085 (PARTE 1)

Descubre un análisis detallado y completo de las técnicas de explotación para la vulnerabilidad CVE-2024-30085. Esta primera parte ofrece un roadmap exhaustivo, ideal para profesionales que buscan comprender a fondo los mecanismos detrás de esta amenaza crítica.

Conoce la guía técnica completa aquí 👉 https://djar.co/Zus9d

🔐 EXPLOITING REVERSING: TÉCNICAS AVANZADAS PARA CVE-2024-30085 (PARTE 2)

Continúa la exploración profunda en metodologías específicas para explotar CVE-2024-30085, con un enfoque práctico que facilita la aplicación en entornos reales de seguridad informática. Profundiza en las bases para fortalecer tus defensas o auditorías.

Accede al análisis detallado aquí 👉 https://djar.co/39UsU

🛡️ EXPLORANDO LA EXPLOTACIÓN DE UN MINIFILTER DRIVER (N-DAY)

Un estudio técnico de 296 páginas que desglosa la explotación de un driver Minifilter vulnerable, mostrando paso a paso cómo un atacante puede aprovechar esta brecha. Esencial para especialistas que trabajan en defensa de sistemas Windows.

Consulta el estudio completo aquí 👉 https://djar.co/IxJ4jx

⚙️ HYPER-V Y SUS RIESGOS: VULNERABILIDADES EN HIPERVISORES (PARTE 1)

Esta entrega inicial profundiza en las vulnerabilidades detectadas en Hyper-V, el hipervisor de Microsoft, y presenta métodos para identificar y mitigar riesgos en entornos virtualizados. Crucial para administradores y analistas de infraestructura segura.

Lee más sobre la seguridad en virtualización aquí 👉 https://djar.co/JiVg0

🐘 FALLAS CRÍTICAS EN PHP COMPOSER PERMITEN EJECUCIÓN ARBITRARIA DE COMANDOS

Se han descubierto dos vulnerabilidades graves (CVE-2026-40176 y CVE-2026-40261) en PHP Composer que permiten a atacantes ejecutar comandos arbitrarios. La actualización inmediata es vital para evitar compromisos de seguridad en proyectos dependientes de Composer.

Actualízate y protege tus sistemas ahora 👉 https://djar.co/svRAdu

☁️ GESTIÓN SEGURA DE IDENTIDADES NO HUMANAS: INNOVACIONES DE CLOUDFLARE

Cloudflare introduce mejoras para la seguridad en identidades no humanas, incluyendo tokens API escaneables, mayor visibilidad en OAuth y permisos con alcance controlado. Estas herramientas permiten una administración automatizada y segura para sistemas automatizados y servicios en la nube.

Descubre cómo fortalecer identidades digitales aquí 👉 https://djar.co/WmMa

🤖 EVALUACIÓN DE MODELOS DE LENGUAJE AUTO HOSPEDADOS EN SEGURIDAD OFENSIVA

Un benchmark que examina la efectividad de grandes modelos de lenguaje auto alojados en tareas de seguridad ofensiva, evaluación de hacking automatizado y análisis de vulnerabilidades. Ideal para quienes buscan integrar inteligencia artificial en sus estrategias de ciberseguridad.

Explora el estudio completo aquí 👉 https://djar.co/ComklW

via @dotnet : .NET and .NET Framework April 2026 servicing releases updates

https://ift.tt/wyUxFph
#DotNet #NET #NETCore #NETFramework #April2026 #ServicingUpdate #SecurityUpdate #CVE2026 #CVE2026-23666 #CVE2026-26171 #CVE2026-32178 #CVE2026-32203 #CVE2026-32226…

🚨 High-severity security fix in fastify@5.8.5 just released!

Patches CVE-2026-33806 — body schema validation bypass via leading space in Content-Type header

https://github.com/fastify/fastify/security/advisories/GHSA-247c-9743-5963

Fortinet remains the #1 targeted perimeter vendor:

• CVE-2026-35616 auth bypass: 1,535,690 sessions
• SSL VPN brute-force: 116,753 sessions (trending ↑)
• CISA KEV since April 6

See it on GreyNoise → https://www.greynoise.io/resources/at-the-edge-clear-041326

⚠️ CRITICAL: Owen WebStack WordPress theme (CVE-2026-1555) lets unauthenticated attackers upload arbitrary files, risking RCE. No patch yet — restrict uploads & monitor activity! CVSS 9.8. Details: https://radar.offseq.com/threat/cve-2026-1555-cwe-434-unrestricted-upload-of-file--be10bbcf #OffSeq #WordPress #Vulnerability