I was testing an IoT device that had unusual HTTP request structures, making it incompatible with browsers or standard request sending tools. The sequence involved: 1- TCP SYN packet 2- HTTP GET request, 3-TCP ACK packet, 4- and then receiving the HTTP response 1/2 @s__zoka

resulting in unauthorized cryptocurrency mining software installation. 2/2 Virustotal : https://t.co/7K4DGBPZCn #React2Shell #BugBounty #vulnerability

React2Shell (CVE-2025-55182): Real-World Incident Response to XMRig Cryptominer Attack On December 6, 2025, our production server experienced a security breach through exploitation of the React2Shell vulnerability Blog: https://t.co/9mpCSkCDOr 1/2

今天不少朋友来 ping 我，说 Cloudflare 挂了。作为 Cloudflare FL 第一代的核心开发者我也分享下我的一些想法。 这次不是攻击，而是典型的“隐性假设 + 配置链条”的连环触发 —— 权限变更让底层表暴露出来，生成的 feature file 行数翻倍，超过了 FL2 的内存预设，最终把核心代理直接推向 panic。

Our fuzzer generated entirely by Vibing just found it first ( confirmed! ) 0day in Firefox. CVE and details soon!

https://t.co/Ph88jLQ7lC

Looks like this attack is pretty similar to the one explained by @BlockSecTeam in 2023. https://t.co/CEASg842Ue

Balancer just got exploited for $110M across multiple chains. Apparently, the attacker found a flaw in the vault's access control that allowed them to bypass authorization to withdraw internal user balances.

Axionsec – an agentic AI framework for cybersecurity! Autonomous AI agents powered by Rust + Google Gemini. Blog: https://t.co/TZLbErJ4H7 #AgenticAI #Cybersecurity #RustLang

This LiteSVM video has been doing crazy numbers for the last 3 months and I’ve been keeping the repo up to date with the latest Anchor, so: https://t.co/ZvSf4BPjyT

Wow - just wow. Ken Gannon (@yogehi) didn't just exploit the #Samsung Galaxy S25: he had it tell a joke, exfiltrate a picture, & open a shell. All that from a single click. He's off to the disclosure room with all the details. You can watch the attempt at

✅ راه حل چالش #extract از @tryhackme ✔️ارسال درخواست Post در ssrf ✔️ارسال هدر و بدنه در درخواست ssrf ✔️آیا میدانید gopher چه کاربردی دارد؟ #tryhackme #tryhackmewriteup https://t.co/bAIpVmkU1X

💯👌 eBPF/XDP are very fast and run inside the kernel, but DPDK is a level above in performance and direct control because it fully bypasses the kernel (true kernel bypass).

فیکس جلوی فراخوانی تابع xPharProcessRewards توسط هر آدرسی را گرفت و تنها به قراردادهای تاییدشده اجازه داد.این عملاً مانع سوءاستفاده از اجرای خارجی (call(tradeData)) و انتقال درآمد/توکن‌ها به مهاجم شد. 3/3

هر آدرس خارجی عمومی می‌توانست این تابع را صدا بزند. مهاجم می‌توانست msg.sender خودش را جعل کند با ارسال tradeData مخرب، می‌توانست توکن‌ها را سرقت کند بعد از فیکس: حالا فقط کانترکت‌های تایید شده (approved contracts) می‌توانند این تابع را صدا بزنند. 2/3

این فیکس یک آسیب‌پذیری بسیار خطرناک را برطرف کرد. قبل از فیکس: تابع xPharProcessRewards() هیچ محدودیت دسترسی نداشت هیچ access control نبود و هر کسی می‌توانست آن را فراخوانی کند. این یعنی: 1/2

حالا جدا از این آسیب پذیری واجب شد نحوی سو استفاده از سرویس Redis رو توسط ردتیم ها انجام می شود در یک رایت اپ شرح بدهم. به زودی ....

GitHub - raminfp/redis_exploit -

A practical lab environment for testing and understanding the critical CVE-2025-49844 (RediShell) vulnerability in Redis. https://t.co/v9BxPgRymM Update to Redis 8.2.2+ immediately #RediShell #Security #RedTeam #PenTesting #SecurityResearch

If you have used Solana, like this post if you enjoy using Solana, RT this post (collecting data for analysis) 🔥

Iranians can mine one Bitcoin for $1.3k and sell it for $108k (~83x).