security
Một dấu chấm phẩy mở cửa GitHub: đọc kỹ CVE-2026-3854 git push RCE
Wiz tìm ra RCE trên git push pipeline GitHub bằng một câu lệnh duy nhất. Câu chuyện thật không phải về bug, mà về việc các internal service tin nhau tuyệt đối.
security
security
CVE-2026-40175: Axios Prototype Pollution. IMDSv2 Bypass + RCE (Phân tích chi tiết)
CVE-2026-40175 (CVSS 10.0 Critical): Axios <1.15.0 bị prototype pollution gadget chain + CRLF header injection, cho phép HTTP request smuggling, bypass AWS IMDSv2, RCE và đánh cắp IAM credentials chỉ từ một dòng axios.get() hardcoded. Phân tích kỹ thuật, PoC, và cách patch.
security
4 HTTP Requests Chiếm Root Server: Google ADK Quên Validate Input, Chuyện Gì Xảy Ra?
Google ADK chứa lỗ hổng Path Traversal + RCE (CVSS 9.8) cho phép chiếm root server chỉ với 4 HTTP request, không cần xác thực. Phân tích chuỗi khai thác và bản vá.
ai
Verification Bottleneck: Vấn đề thật của AI Code 2026
48% AI code chứa vulnerabilities. Verification Bottleneck là gì và 5 giải pháp review AI code hiệu quả cho developers.
security
CVE Alert Fatigue? Để AI quyết định vulnerability nào thực sự nguy hiểm
TL;DR * Vấn đề: Q1/2025 có hơn 25,000 CVEs mới, nhưng chỉ 5.2% thực sự exploitable - security teams đang chìm trong biển alerts vô nghĩa * Giải pháp: VEX (Vulnerability Exploitability eXchange) cung cấp context để phân biệt "có vulnerability" và "vulnerability có thể
security
SBOM 101
Lock file không phải SBOM: Những gì developer cần biết về software supply chain
CVE
CVE-2025-41115: Khi Grafana Ghi Điểm CVSS 10.0 Hoàn Hảo
CVE-2025-41115: Khi Grafana Ghi Điểm CVSS 10.0 Hoàn Hảo TL;DR CVE-2025-41115 là lỗ hổng điểm CVSS 10.0 trên Grafana Enterprise phiên bản 12.0.0-12.2.1, cho phép kẻ tấn công mạo danh tài khoản quản trị viên thông qua cơ chế cung cấp SCIM. Nguyên
security
Lừa Đảo Qua Tuyển Dụng AI - Malware Ngụy Trang Trong Repo GitHub
Câu Chuyện Bắt Đầu Từ Một Tin Nhắn Trong một buổi chiều đẹp trời, tôi nhận được tin nhắn của một người anh mà tôi rất quý. Anh ấy hào hứng chia sẻ về một cơ hội "ngon" liên quan đến AI ứng dụng cho testing và muốn