Lỗ hổng nghiêm trọng bypass xác thực (CVE-2026-48611) trong cấu hình mặc định của phpBB cho phép kẻ tấn công đăng nhập vào bất kỳ tài khoản nào, kể cả admin, bằng cách khai thác tính năng OAuth thông qua tham số auth_provider=apache mà không cần mật khẩu. Lỗ hổng đã được vá trong phiên bản phpBB 3.3.17.
Vì sao nên đọc: Lập trình viên phát triển hệ thống quản lý diễn đàn phpBB nên đọc bài này để cảnh báo về nguy cơ bẻ khóa xác thực trong cấu hình mặc định, giúp họ cập nhật ngay phiên bản mới nhất và kiểm tra bảo mật trước khi triển khai ứng dụng.
Trả lời 3 câu hỏi ngắn để nhận điểm thưởng cho bài này. Chỉ làm khi bạn muốn lấy điểm.
3 câu hỏi · dưới một phút · không bắt buộc
Nguồn: https://www.aikido.dev/blog/authentication-bypass-phpbb-technical-writeup. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Nhóm phát triển PHP vừa tung ra phiên bản 8.4.23, một bản cập nhật bảo mật quan trọng cho nhánh PHP 8.4. Người dùng nên nâng cấp ngay lập tức, tải về từ trang chính thức.
Lập trình viên cần đọc để cập nhật về phí bảo mật mới trong PHP 8.4.23, giúp bảo vệ ứng dụng của mình trước các lỗ hổng nguy hiểm và duy trì an toàn cho hệ thống.
Okta, khởi nghiệp năm 2009 giữa thời kỳ suy thoái, đã phát triển thành nền tảng identity trị giá 2,92 tỷ USD nhờ chuyển đổi từ bảo mật dựa trên perimeter sang identity-centric. Bài viết phân tích hành trình của Okta, bộ sản phẩm đầy đủ (Workforce Identity Cloud, Auth0, FastPass, ITP, ISPM), cạnh tranh với Microsoft, CyberArk, Ping, cũng như bài học từ các vụ xâm nhập 2022-2023 và cơ hội mới trong quản trị identity cho AI agent.
Là người phát triển, hiểu cách Okta đã chuyển đổi từ cơ sở hạ tầng bảo mật truyền thống sang quản lý danh tính toàn diện sẽ giúp bạn tối ưu hóa cách thiết kế và tích hợp các giải pháp identity trong ứng dụng của mình, tránh rủi ro bảo mật và cải thiện trải nghiệm người dùng.
Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng CVE-2026-48931 (vấn đề poisoning hàng đợi response HTTP/1.1 trong http.Agent) không đáng được xếp vào danh mục CVE vì đây là đặc tính vốn có của giao thức HTTP/1.1, không phải lỗi riêng của Node.js. Bản vá ban đầu gây lỗi giả (ERR_STREAM_PREMATURE_CLOSE) do listener 'data' công khai, ảnh hưởng tới nhiều dự án như Google API, Firebase CLI, Backstage. Sau đó, lỗi được khắc phục bằng cách thay thế bằng hook nội bộ onread. Ông cũng cảnh báo về tình trạng báo cáo bảo mật do AI tạo tràn lan, dẫn đến phân loại sai CVEs.
Bạn nên đọc bài này để hiểu cách phân biệt giữa các lỗ hổng thực sự là Node.js hay là cơ chế HTTP/1.1 chung, tránh rơi vào tình trạng đánh nhầm các cải thiện kỹ thuật thành CVE khi chúng không ảnh hưởng riêng biệt đến dự án của mình.
AWS API Gateway thiếu quy trình đăng ký ứng dụng hay luồng OAuth tự phục vụ công khai, khiến nó không tương thích với mô hình onboarding tự động. Người viết so sánh AWS với mô hình lý tưởng như SoundCloud, nơi script có thể đăng ký ứng dụng và nhận credentials theo chương trình. Do AWS yêu cầu credentials phải xuất phát từ ranh giới tin cậy của chủ tài khoản, giải pháp khả thi nhất là tạo API key và gắn vào usage plan thông qua yêu cầu SigV4-signed tới control plane. Bài viết cung cấp script Node.js (không phụ thuộc, chỉ dùng thư viện chuẩn) triển khai ký SigV4 thủ công và gọi CreateApiKey, CreateUsagePlanKey. Tác giả cho rằng đây là hạn chế về triết lý, không phải kỹ thuật, và kêu gọi AWS cung cấp endpoint đăng ký có phạm vi, có thể thu hồi cho agent.
Lập trình viên cần đọc bài này để hiểu cách tự động hóa đăng ký và quản lý API trên AWS API Gateway bằng cách sử dụng API keys và SigV4, giúp tiết kiệm thời gian và tránh rủi ro liên quan đến OAuth thủ công.
Alibaba cấm nhân viên sử dụng Claude Code sau khi phát hiện mã theo dõi ẩn nhằm xác định người dùng Trung Quốc thông qua kiểm tra múi giờ, proxy và steganography. Anthropic thừa nhận đây là thí nghiệm chống lạm dụng và đã gỡ bỏ mã này vào tháng 7, trong bối cảnh căng thẳng leo thang khi họ tố cáo Alibaba thực hiện cuộc tấn công distillation lớn nhất vào Claude.
Lập trình viên nên đọc bài này để hiểu cách các công ty như Alibaba sử dụng kỹ thuật distillation và steganography trong công cụ AI để kiểm soát và theo dõi người dùng, cảnh báo về rủi ro về quyền riêng tư và an toàn khi sử dụng các công cụ phát triển có quyền truy cập sâu vào hệ thống.
Tuần qua, GPT-5.6 ra mắt với quyền truy cập bị hạn chế bởi chính phủ, cho thấy các mô hình AI tiên tiến giờ đây là rủi ro về chính sách và tuân thủ. Các nghiên cứu về OpenAI Codex và Microsoft Copilot CLI cho thấy agent lập trình nâng cao giúp gia tăng ~24% PRs được hợp nhất ở quy mô tổ chức. Mozilla cảnh báo agent lập trình như Claude Code có thể bị thao túng cài malware từ repo GitHub sạch. NVIDIA mở rộng GPU toàn cầu thông qua mô hình chia doanh thu với các đối tác. Z.ai tung GLM-5.2 open-weight cạnh tranh ngang ngửa mô hình frontier nhưng chi phí chỉ bằng một nửa, đặt ra thách thức quản trị và kiến trúc routing.
Lập trình viên nên đọc bài này để hiểu cách các công nghệ AI hiện đại không chỉ thay đổi cách phát triển mã mà còn trở thành điểm nóng về an ninh, quy định và chi phí, từ đó chuẩn bị sẵn sàng ứng phó với những rủi ro mới trong tương lai.
Nhóm phát triển PHP vừa phát hành phiên bản 8.2.32, tập trung vào vá lỗ hổng bảo mật. Người dùng PHP 8.2 được khuyến cáo nâng cấp ngay lập tức. Tải xuống mã nguồn và bản cài Windows tại trang tải xuống chính thức, kèm chi tiết trong bản ghi thay đổi.
Nếu bạn đang sử dụng PHP 8.2 và muốn bảo vệ hệ thống của mình khỏi các lỗ hổng bảo mật mới nhất, hãy cập nhật ngay phiên bản 8.2.32 để tránh rủi ro an ninh.
Nhóm phát triển PHP vừa công bố phiên bản 8.3.32, bản phát hành tập trung vào vá lỗ hổng bảo mật. Người dùng PHP 8.3 nên nâng cấp ngay lập tức, tải xuống từ trang chính thức.
Lập trình viên nên đọc bài này vì phiên bản mới này là một bản cập nhật an toàn (security patch) cho PHP 8.3, giúp bảo vệ hệ thống ứng dụng của bạn khỏi các lỗ hổng bảo mật mới.