Security & DevSecOps
AppSec, supply-chain, OAuth/JWT, secrets, vulnerability và hardening.
Bài trong chủ đề
12 bàiGitHub mở Innersource Security Advisories cho doanh nghiệp
GitHub Advanced Security cho phép doanh nghiệp phát hành advisory bảo mật nội bộ, chỉ hiển thị trong các repo của tổ chức thay vì công khai ra ngoài.
ACM hỗ trợ ACME, tự động cấp/gia hạn chứng chỉ TLS công khai
AWS Certificate Manager nay hỗ trợ giao thức ACME, cho phép tự động cấp và gia hạn chứng chỉ TLS công khai bằng công cụ chuẩn, phổ biến thay vì quy trình riêng của AWS.
Bad Epoll: lỗ hổng kernel Linux cho leo thang lên root
Bad Epoll (CVE-2026-46242) là lỗi use-after-free trong epoll của kernel Linux, cho tiến trình thường leo lên root; ảnh hưởng kernel v6.4+ và cả Android, đã có bản vá.
Nghi phạm Scattered Spider bị dẫn độ về Mỹ
DOJ: Peter Stokes (19 tuổi, quốc tịch kép Mỹ-Estonia), nghi thành viên Scattered Spider, bị bắt ở Phần Lan và dẫn độ về Mỹ với cáo buộc conspiracy, xâm nhập máy tính và lừa đảo.
CISA: lỗ hổng RCE SharePoint (CVE-2026-45659) đang bị khai thác, vá trước 4/7
CISA đưa CVE-2026-45659 — lỗi deserialization trên Microsoft SharePoint Server cho phép thực thi mã từ xa — vào danh mục KEV sau khi xác nhận đã bị khai thác thực tế. Cơ quan liên bang Mỹ phải khắc phục trước 4/7/2026; đội vận hành SharePoint on-prem nên vá gấp theo hướng dẫn của Microsoft.
Security & DevSecOpsDuneSlide: 2 lỗ hổng RCE nghiêm trọng trong Cursor IDE
Cato AI Labs công bố DuneSlide — hai lỗ hổng RCE (CVSS 9.8, CVE-2026-50548/50549) trong Cursor IDE. Prompt injection zero-click ghi file tùy ý, thoát sandbox và chiếm máy dev. Đã vá ở Cursor 3.0; mọi bản trước đều dính.
7 lỗ hổng FatFs đe doạ hàng triệu thiết bị nhúng, phần lớn chưa vá
runZero công bố 7 CVE trong FatFs — driver hệ thống tệp FAT/exFAT có mặt khắp ESP-IDF, STM32Cube, Zephyr, MicroPython, ArduPilot… Nặng nhất là CVE-2026-6682 (CVSS 7.6): tràn số nguyên khi mount FAT32 tạo kích thước tệp giả, có thể dẫn tới hỏng bộ nhớ và thực thi mã. Chỉ 1/7 lỗi được vá upstream (R0.16); maintainer gần như không phản hồi nên phần lớn vẫn để ngỏ.
Adobe vá 11 lỗi ColdFusion, 6 lỗi đạt CVSS tối đa 10.0
Bản tin APSB26-68 vá 11 lỗ hổng ColdFusion 2025/2023, trong đó 6 lỗi RCE không cần xác thực đạt CVSS 10.0; Adobe xếp Priority 1, khuyến nghị cập nhật ngay.
817 'kỹ năng' an ninh mạng cho AI agent
Repo Anthropic-Cybersecurity-Skills gom 817 kỹ năng an ninh mạng có cấu trúc cho AI agent, ánh xạ vào 6 khung như MITRE ATT&CK, NIST CSF 2.0, MITRE ATLAS và D3FEND.
SimpleX Chat: mạng nhắn tin không định danh người dùng
SimpleX Chat tự nhận là mạng nhắn tin đầu tiên hoạt động hoàn toàn không có định danh người dùng, ưu tiên riêng tư và chống theo dõi metadata; đang trending tuần này.
CISA: lỗi RCE PTC Windchill (CVE-2026-12569) đang bị khai thác
CISA đưa lỗi RCE nghiêm trọng trong PTC Windchill PDMLink và FlexPLM (CVE-2026-12569, CVSS 9.3) vào danh mục KEV ngày 26/6 do bằng chứng đang bị khai thác. Lỗi nằm ở việc giải tuần tự (deserialization) dữ liệu không tin cậy; kẻ tấn công đang cài JSP web shell. CISA yêu cầu cơ quan liên bang vá trước 28/6.
CISA cảnh báo lỗi Splunk Enterprise CVE-2026-20253 đang bị khai thác
CISA yêu cầu cơ quan liên bang Mỹ vá lỗi nghiêm trọng CVE-2026-20253 trên Splunk Enterprise đang bị khai thác thực tế. Lỗi cho phép kẻ tấn công không cần quyền tạo/xóa file qua endpoint PostgreSQL sidecar thiếu xác thực, có thể dẫn tới RCE.