CVE - Omelet

security

CVE-2026-40175: Axios Prototype Pollution. IMDSv2 Bypass + RCE (Phân tích chi tiết)

CVE-2026-40175 (CVSS 10.0 Critical): Axios <1.15.0 bị prototype pollution gadget chain + CRLF header injection, cho phép HTTP request smuggling, bypass AWS IMDSv2, RCE và đánh cắp IAM credentials chỉ từ một dòng axios.get() hardcoded. Phân tích kỹ thuật, PoC, và cách patch.

LLM-powered VEX generation for CVE vulnerability analysis

security

CVE Alert Fatigue? Để AI quyết định vulnerability nào thực sự nguy hiểm

TL;DR * Vấn đề: Q1/2025 có hơn 25,000 CVEs mới, nhưng chỉ 5.2% thực sự exploitable - security teams đang chìm trong biển alerts vô nghĩa * Giải pháp: VEX (Vulnerability Exploitability eXchange) cung cấp context để phân biệt "có vulnerability" và "vulnerability có thể

CVE

CVE-2025-41115: Khi Grafana Ghi Điểm CVSS 10.0 Hoàn Hảo

CVE-2025-41115: Khi Grafana Ghi Điểm CVSS 10.0 Hoàn Hảo TL;DR CVE-2025-41115 là lỗ hổng điểm CVSS 10.0 trên Grafana Enterprise phiên bản 12.0.0-12.2.1, cho phép kẻ tấn công mạo danh tài khoản quản trị viên thông qua cơ chế cung cấp SCIM. Nguyên