Seven vulnerabilities in jackson-databind were published on June 22, 2026, all discovered by a single researcher in one day using AI-assisted security research. Two are critical RCEs (CVE-2026-54512, CVE-2026-54513, CVSS v4 9.2–9.3) that bypass the PolymorphicTypeValidator allowlist. Five additional medium-severity CVEs bypass @JsonIgnoreProperties, @JsonIgnore, and @JsonView access control mechanisms. All are fixed in jackson-databind 2.18.8, 2.21.4, and 3.1.4. EOL versions (2.13.x–2.15.x) have no community fix; commercial backports for the two critical RCEs are available via HeroDevs NES. The post also highlights the growing CVE disclosure pipeline lag and warns that AI-assisted research is now mainstream, meaning previously unexamined libraries are no longer safe by default.
Nguồn: https://foojay.io/today/7-new-vulnerabilities-in-jackson-in-one-day-this-is-what-ai-assisted-security-research-looks-like. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Java 26 bổ sung nhiều cải tiến về hiệu năng, bảo mật và tính năng ngôn ngữ. Đáng chú ý gồm: hạn chế sửa đổi phản chiếu (reflective) đối với trường final; loại bỏ API Applet lỗi thời; hỗ trợ AOT object caching cho mọi bộ thu gom rác (kể cả ZGC); bổ sung HTTP/3 qua QUIC trong HTTP Client API; cải thiện throughput cho G1 GC; phiên bản preview thứ hai của PEM encoding APIs; phiên bản preview thứ sáu của Structured Concurrency; phiên bản preview thứ hai của Lazy Constants; phiên bản incubator thứ mười một của Vector API; và phiên bản preview thứ tư mở rộng pattern matching cho kiểu nguyên thủy trong instanceof và switch.
Những cải tiến trong Java 26 giúp nâng cao hiệu suất thực hiện và bảo mật cho ứng dụng của bạn, từ đó tối ưu hóa hiệu suất công việc và giảm rủi ro khi phát triển.
Bài viết hướng dẫn cách viết báo cáo lỗ hổng bảo mật (vulnerability reports) chất lượng cao cho các dự án nguồn mở, do người duy trì dự án curl chia sẻ. Các khuyến nghị chính gồm: viết đoạn giới thiệu rõ ràng, cung cấp mã tái hiện lỗi (reproducer) độc lập, gửi kèm bản vá (patch) nếu có thể, chỉ rõ phiên bản bị ảnh hưởng, tuân thủ kênh gửi báo cáo ưu tiên của dự án và sẵn sàng hợp tác trong suốt quá trình. Ngoài ra, bài viết cũng đề cập cách thức viết advisory bảo mật và nhấn mạnh tôn trọng thời gian hạn chế của các maintainer tình nguyện.
Lập trình viên nên đọc bài này để cải thiện chất lượng báo cáo lỗ hổng cho các dự án mở nguồn, tránh gây khó khăn cho các maintainer và tăng cơ hội được giải quyết nhanh chóng.
Mọi lỗ hổng trong agent AI đều là thất bại trong việc thiết lập ranh giới tin cậy (trust boundary), không phải do mô hình hay công cụ. Bài viết phân tích bốn vector tấn công chính: tiêm prompt qua kết quả công cụ, giả mạo danh tính trong cuộc gọi giữa agent, tấn công "bom ngân sách" từ vòng lặp vô tận, và nhiễm độc công cụ qua sự sai lệch của MCP server. Giải pháp đề xuất là áp dụng các kiểm soát hạ tầng như Portkey's Agent Gateway, MCP Registry, LLM Gateway để ngăn chặn hoặc phát hiện các cuộc tấn công này.
Lập trình viên nên đọc bài này để hiểu cách bảo vệ hệ thống AI agent khỏi các lỗ hổng nghiêm trọng không phụ thuộc vào lỗi của mô hình hay công cụ, mà liên quan đến việc thiết lập và kiểm soát biên giới tin cậy—đặc biệt là khi các agent tự quyết định sử dụng các công cụ và giao tiếp với nhau.
Okta ra mắt nền tảng quản trị AI Agent (Okta for AI Agents – Core) tương thích FedRAMP và HIPAA, quản lý AI Agent như danh tính cấp cao với token ngắn hạn thay thế API keys tĩnh. Tính năng bao gồm đăng ký agent, kiểm soát truy cập tối thiểu, nhật ký kiểm toán và công tắc ngắt agent độc hại, đáp ứng lệnh hành pháp về triển khai AI an toàn trong cơ quan chính phủ.
Lập trình viên cần đọc bài này để hiểu cách quản lý an toàn và tuân thủ tiêu chuẩn FedRAMP/HIPAA cho các ứng dụng AI agent, giúp họ xây dựng hệ thống bảo mật cao hơn trong môi trường công nghệ liên bang hoặc y tế.
Lỗ hổng ghi vượt giới hạn heap (CVE-2026-8461) có tên PixelSmash được phát hiện trong bộ giải mã MagicYUV của FFmpeg, ảnh hưởng đến nhiều ứng dụng sử dụng libavcodec như Kodi, OBS Studio, Nextcloud, PhotoPrism, Emby và Jellyfin. FFmpeg 8.1.2 đã vá lỗ hổng này, có thể gây RCE hoặc từ chối dịch vụ tùy thuộc vào điều kiện hệ thống.
Lập trình viên nên đọc bài này vì PixelSmash là lỗ hổng nghiêm trọng trong FFmpeg, có thể dẫn đến tấn công xâm nhập từ xa (RCE) hoặc cản trở hoạt động của ứng dụng sử dụng libavcodec, từ các nền tảng như Kodi đến hệ thống quản lý media như Jellyfin, ảnh hưởng đến cả hệ thống của bạn nếu không được cập nhật.

Một nhà phát triển tên Gretchen gia nhập dự án Node.js cũ kỹ sau khi bị mua lại và phát hiện hàng loạt lỗi nghiêm trọng: logging bị hỏng chỉ in ra "DEBUG", lỗ hổng SQL injection từ truy vấn thô, thiếu middleware phân quyền trên hầu hết endpoints (kể cả API admin), codebase dừng ở Node.js 14, và dữ liệu request được đưa trực tiếp vào database mà không qua bất kỳ validation nào.
Lập trình viên nên đọc bài này để tránh rơi vào những sai lầm an toàn và thiết kế không hiệu quả trong dự án Node.js, từ đó học cách cải thiện bảo mật, quản lý lỗi và tối ưu hóa hệ thống ngay từ giai đoạn đầu.
Hibernate 7.2 bổ sung toán tử like regexp trong HQL, cho phép truy vấn chuỗi bằng regex mà không cần SQL native. Mỗi database dịch sang hàm regex riêng (Oracle: REGEXP_LIKE, PostgreSQL: ~, MySQL: REGEXP), nhưng cú pháp HQL có thể không tương thích hoàn toàn giữa các hệ thống do khác biệt về regex engine.
Lập trình viên cần đọc bài này để khám phá cách sử dụng tìm kiếm biểu thức chính quy (regex) trong HQL một cách hiệu quả, tránh phụ thuộc vào SQL nguyên sinh và tối ưu hóa các truy vấn tìm kiếm phức tạp trên các cơ sở dữ liệu khác nhau.
Kafka gặp lỗi CommitFailedException khi consumer bị loại khỏi nhóm do vượt quá timeout MAX_POLL_INTERVAL_MS khi chưa kịp poll dữ liệu, xảy ra khi xử lý record lâu hơn khoảng thời gian cấu hình. Giải pháp gồm điều chỉnh MAX_POLL_INTERVAL_MS/MAX_POLL_RECORDS_CONFIG hoặc chuyển sang xử lý bất đồng bộ bằng virtual threads kèm theo theo dõi offset theo partition. Phương pháp bất đồng bộ sử dụng CompletableFuture, ConcurrentHashMap và ConsumerRebalanceListener để commit an toàn các offset đang xử lý. Thêm vào đó, nên triển khai idempotency và Dead Letter Queue cho các message lỗi.
Lập trình viên cần đọc bài này để khắc phục lỗi CommitFailedException trong Kafka khi xử lý dữ liệu chậm, từ đó tối ưu hiệu suất và đảm bảo không mất dữ liệu trong trường hợp tái cân bằng nhóm.