Flaws in iCagenda, Balbooa Forms extensions can impact open source CMS that powers a million sites worldwide
Nguồn: https://www.theregister.com/security/2026/07/14/baddies-caught-exploiting-extensions-bugs-with-perfect-10-scores-on-vulnerable-joomla-websites/5271001. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Đọc tin ở đây, luyện code, học theo lộ trình và luyện IELTS trên các sản phẩm anh em — tất cả kết nối với nhau trong hệ sinh thái 8 Sync Dev.
Cổng chính của hệ sinh thái: giới thiệu sản phẩm, blog và bảng giá trọn bộ.
Khám pháHọc theo lộ trình với video, quiz chấm tự động, certificate và mentor đang làm nghề.
Xem khóa họcLuyện thuật toán chấm tự động 7 ngôn ngữ, chạy code ngay trên trình duyệt.
Các "yellow teams" mới nổi kết hợp giữa tấn công và phòng thủ an ninh mạng, sử dụng mô hình AI tiên tiến như Claude Mythos hay GPT-5.5 để phát hiện lỗ hổng thông qua các framework điều khiển (harness) cho phép cả red team và blue team khai thác AI hiệu quả. Các công ty như Cisco, Microsoft hay Cloudflare đã xây dựng kiến trúc harness riêng, tích hợp vào quy trình phát triển phần mềm (SDLC) nhằm ngăn chặn lỗ hổng tái diễn.
Lập trình viên nên đọc bài này để hiểu cách xây dựng các hệ thống bảo mật thông minh, từ thiết kế các harness AI an toàn cho đến cách tích hợp các mô hình AI vào quy trình phát triển an ninh mạng, giúp bảo vệ ứng dụng trước các mối đe dọa mới.
AI cho doanh nghiệp B2B: chat đa kênh AI phản hồi, gom lead tiềm năng, phân loại khách hàng.
Sắp ra mắtMô hình AI Mythos của Anthropic đã phát hiện lỗ hổng trong các hệ thống bí mật của chính phủ Mỹ trong một cuộc thử nghiệm kiểm tra đỏ có kiểm soát, chứ không phải do tấn công từ bên ngoài. Kết quả này nhấn mạnh khả năng của Mythos trong việc tìm ra hàng nghìn lỗ hổng zero-day trên các hệ điều hành và trình duyệt lớn, dù chính phủ Mỹ từng hạn chế công khai mô hình này sau một vụ jailbreak riêng.
Những phát hiện về khả năng phát hiện lỗ hổng trong hệ thống an ninh quốc gia của Mỹ cho thấy AI mạnh mẽ như Mythos có thể trở thành công cụ quan trọng trong bảo mật, nhưng cũng đặt ra thách thức về kiểm soát và ứng dụng công bằng—là vấn đề cần thảo luận để xây dựng hệ sinh thái an toàn và minh bạch cho công nghệ AI.
Bản cập nhật tuần này của Metasploit bổ sung ba module khai thác mới: RCE qua tiêm prompt vào Flowise CSV Agent (CVE-2026-41264), module persistence Apache .htaccess cài web shell mod_cgi trên Linux, và leo quyền nâng cao macOS thông qua PackageKit lợi dụng ~/.zshenv (CVE-2024-27822). Các cải tiến bao gồm nhận diện FTP bằng recog, bổ sung trường MCP Server tool, theo dõi yêu cầu chứng chỉ AD CS, và đầu ra trace Kerberos chi tiết hơn. Bản cập nhật cũng khắc phục lỗi sinh EXE AARCH64 cho Windows và bất đồng kiểu SID trong module RBCD.
Lập trình viên phát triển an ninh mạng hoặc bảo mật hệ thống nên đọc để cập nhật các lỗ hổng mới như CVE-2026-41264 và CVE-2024-27822, giúp họ xây dựng các giải pháp phòng ngừa và khắc phục nhanh chóng trước các cuộc tấn công mới nổi.
Juan Mathews Rebello Santos trở thành người đầu tiên ở Brazil tốt nghiệp ngành an ninh mạng khi bị khiếm thị, đồng thời là nhà nghiên cứu mù đầu tiên công bố CVE (CVE-2025-26326) trên NVD của Mỹ. Anh phát hiện lỗ hổng trên các sản phẩm của Google, Microsoft, Nubank và Smiles chỉ bằng công cụ screen reader, đồng thời sáng lập BNVD.org, viết sách an ninh mạng bằng tiếng Bồ Đào Nha dành cho người khiếm thị và sở hữu hơn 50 chứng chỉ. Bài viết cũng nhấn mạnh những rào cản tiếp cận trong ngành công nghệ đối với người khiếm thị, từ hệ thống đại học không thân thiện đến hàng trăm đơn xin việc không hồi âm, và kêu gọi thiết kế bao dung là yếu tố bắt buộc, không phải sự ưu ái.
Đọc bài này để hiểu cách một lập trình viên mù nhìn đã phá vỡ giới hạn kỹ thuật số bằng sự sáng tạo và kỹ năng chuyên môn, đồng thời khám phá những thách thức thực tế mà những người có khuyết tật thị giác phải đối mặt trong ngành công nghệ và cách họ có thể chuyển đổi những trở ngại thành cơ hội.
Docker và Podman là hai công cụ orchestration container đang cạnh tranh trong kỷ nguyên mới về bảo mật. Podman nổi bật với kiến trúc daemon-less, hỗ trợ rootless containers, giúp tăng cường bảo mật so với Docker truyền thống.
Lập trình viên nên đọc bài này vì Docker và Podman không chỉ là công cụ quản lý container đơn giản, mà còn là hai giải pháp khác nhau về tính độc lập, bảo mật và hiệu suất, giúp bạn lựa chọn công cụ phù hợp với môi trường phát triển, sản xuất và các yêu cầu an toàn hiện đại.
Zimbra has released version 10.1.19 to patch a critical stored XSS vulnerability in its Classic Web Client. The flaw, reported by Google's Threat Analysis Group, allows attackers to execute malicious code via specially crafted emails, potentially stealing session data, account settings, or mailbox contents. No CVE has been assigned yet, and exploitation in the wild has not been confirmed, but Zimbra urges immediate upgrades. The vulnerability is particularly concerning given Zimbra's history of being targeted by Russian state-sponsored groups like Winter Vivern, APT29, and APT28, which have repeatedly exploited Zimbra XSS flaws to compromise government, military, and diplomatic targets.

FIFA's network had a significant security vulnerability that could be exploited by anyone with even minimal access, as detailed in a linked writeup by a security researcher.
A weekly security roundup covering several notable incidents: the Januscape KVM VM escape vulnerability affecting major cloud providers after 16 years in the codebase; unencrypted RF protocol flaws in Hoymiles balcony solar micro-inverters affecting ~500,000 units; OpenSSH 10.4 release with security fixes and post-quantum encryption experiments; a possible Tenda router backdoor via hardcoded password; a prompt injection attack on GitHub's AI agent that leaked private repository contents; a Windows device identifier helping identify a Scattered Spider ransomware operator; CISA's post-incident review after credential exposure via a public GitHub repo; and NPM infostealer packages traced to a cybersecurity company owner.