Tất cả tin tức
SEC
Chủ đề

Security & DevSecOps

AppSec, supply-chain, OAuth/JWT, secrets, vulnerability và hardening.

Bài trong chủ đề

12 bài
SECSecurity & DevSecOps
GitHub · 4 ngày trước

GitHub mở Innersource Security Advisories cho doanh nghiệp

GitHub Advanced Security cho phép doanh nghiệp phát hành advisory bảo mật nội bộ, chỉ hiển thị trong các repo của tổ chức thay vì công khai ra ngoài.

GitHubsecurityAppSec
SECSecurity & DevSecOps
AWS · 5 ngày trước

ACM hỗ trợ ACME, tự động cấp/gia hạn chứng chỉ TLS công khai

AWS Certificate Manager nay hỗ trợ giao thức ACME, cho phép tự động cấp và gia hạn chứng chỉ TLS công khai bằng công cụ chuẩn, phổ biến thay vì quy trình riêng của AWS.

AWSACMTLS
Bad Epoll: lỗ hổng kernel Linux cho leo thang lên rootSecurity & DevSecOps
Jaeyoung Chung (GitHub) · 8 ngày trước

Bad Epoll: lỗ hổng kernel Linux cho leo thang lên root

Bad Epoll (CVE-2026-46242) là lỗi use-after-free trong epoll của kernel Linux, cho tiến trình thường leo lên root; ảnh hưởng kernel v6.4+ và cả Android, đã có bản vá.

Linux kernelCVEuse-after-free
SECSecurity & DevSecOps
US Department of Justice · 10 ngày trước

Nghi phạm Scattered Spider bị dẫn độ về Mỹ

DOJ: Peter Stokes (19 tuổi, quốc tịch kép Mỹ-Estonia), nghi thành viên Scattered Spider, bị bắt ở Phần Lan và dẫn độ về Mỹ với cáo buộc conspiracy, xâm nhập máy tính và lừa đảo.

Scattered SpidercybercrimeDOJ
SECSecurity & DevSecOps
CISA · 10 ngày trước

CISA: lỗ hổng RCE SharePoint (CVE-2026-45659) đang bị khai thác, vá trước 4/7

CISA đưa CVE-2026-45659 — lỗi deserialization trên Microsoft SharePoint Server cho phép thực thi mã từ xa — vào danh mục KEV sau khi xác nhận đã bị khai thác thực tế. Cơ quan liên bang Mỹ phải khắc phục trước 4/7/2026; đội vận hành SharePoint on-prem nên vá gấp theo hướng dẫn của Microsoft.

CVE-2026-45659SharePointMicrosoft
DuneSlide: 2 lỗ hổng RCE nghiêm trọng trong Cursor IDESecurity & DevSecOps
Cato Networks · 11 ngày trước

DuneSlide: 2 lỗ hổng RCE nghiêm trọng trong Cursor IDE

Cato AI Labs công bố DuneSlide — hai lỗ hổng RCE (CVSS 9.8, CVE-2026-50548/50549) trong Cursor IDE. Prompt injection zero-click ghi file tùy ý, thoát sandbox và chiếm máy dev. Đã vá ở Cursor 3.0; mọi bản trước đều dính.

Cursorprompt injectionRCE
SECSecurity & DevSecOps
runZero · 11 ngày trước

7 lỗ hổng FatFs đe doạ hàng triệu thiết bị nhúng, phần lớn chưa vá

runZero công bố 7 CVE trong FatFs — driver hệ thống tệp FAT/exFAT có mặt khắp ESP-IDF, STM32Cube, Zephyr, MicroPython, ArduPilot… Nặng nhất là CVE-2026-6682 (CVSS 7.6): tràn số nguyên khi mount FAT32 tạo kích thước tệp giả, có thể dẫn tới hỏng bộ nhớ và thực thi mã. Chỉ 1/7 lỗi được vá upstream (R0.16); maintainer gần như không phản hồi nên phần lớn vẫn để ngỏ.

FatFsembeddedIoT
SECSecurity & DevSecOps
Adobe PSIRT · 12 ngày trước

Adobe vá 11 lỗi ColdFusion, 6 lỗi đạt CVSS tối đa 10.0

Bản tin APSB26-68 vá 11 lỗ hổng ColdFusion 2025/2023, trong đó 6 lỗi RCE không cần xác thực đạt CVSS 10.0; Adobe xếp Priority 1, khuyến nghị cập nhật ngay.

AdobeColdFusionCVE
817 'kỹ năng' an ninh mạng cho AI agentSecurity & DevSecOps
GitHub · 13 ngày trước

817 'kỹ năng' an ninh mạng cho AI agent

Repo Anthropic-Cybersecurity-Skills gom 817 kỹ năng an ninh mạng có cấu trúc cho AI agent, ánh xạ vào 6 khung như MITRE ATT&CK, NIST CSF 2.0, MITRE ATLAS và D3FEND.

securityAI agentsMITRE ATT&CK
SimpleX Chat: mạng nhắn tin không định danh người dùngSecurity & DevSecOps
GitHub · 13 ngày trước

SimpleX Chat: mạng nhắn tin không định danh người dùng

SimpleX Chat tự nhận là mạng nhắn tin đầu tiên hoạt động hoàn toàn không có định danh người dùng, ưu tiên riêng tư và chống theo dõi metadata; đang trending tuần này.

privacymessagingsecurity
SECSecurity & DevSecOps
PTC · 16 ngày trước

CISA: lỗi RCE PTC Windchill (CVE-2026-12569) đang bị khai thác

CISA đưa lỗi RCE nghiêm trọng trong PTC Windchill PDMLink và FlexPLM (CVE-2026-12569, CVSS 9.3) vào danh mục KEV ngày 26/6 do bằng chứng đang bị khai thác. Lỗi nằm ở việc giải tuần tự (deserialization) dữ liệu không tin cậy; kẻ tấn công đang cài JSP web shell. CISA yêu cầu cơ quan liên bang vá trước 28/6.

CVE-2026-12569PTC WindchillCISA KEV
SECSecurity & DevSecOps
Splunk · 23 ngày trước

CISA cảnh báo lỗi Splunk Enterprise CVE-2026-20253 đang bị khai thác

CISA yêu cầu cơ quan liên bang Mỹ vá lỗi nghiêm trọng CVE-2026-20253 trên Splunk Enterprise đang bị khai thác thực tế. Lỗi cho phép kẻ tấn công không cần quyền tạo/xóa file qua endpoint PostgreSQL sidecar thiếu xác thực, có thể dẫn tới RCE.

securityCVESplunk
Chào bạn, mình là Nova. Có phần nào bạn muốn hiểu kỹ hơn không? Cứ nói với mình nhé.