Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng CVE-2026-48931 (vấn đề poisoning hàng đợi response HTTP/1.1 trong http.Agent) không đáng được xếp vào danh mục CVE vì đây là đặc tính vốn có của giao thức HTTP/1.1, không phải lỗi riêng của Node.js. Bản vá ban đầu gây lỗi giả (ERR_STREAM_PREMATURE_CLOSE) do listener 'data' công khai, ảnh hưởng tới nhiều dự án như Google API, Firebase CLI, Backstage. Sau đó, lỗi được khắc phục bằng cách thay thế bằng hook nội bộ onread. Ông cũng cảnh báo về tình trạng báo cáo bảo mật do AI tạo tràn lan, dẫn đến phân loại sai CVEs.
Vì sao nên đọc: Bạn nên đọc bài này để hiểu cách phân biệt giữa các lỗ hổng thực sự là Node.js hay là cơ chế HTTP/1.1 chung, tránh rơi vào tình trạng đánh nhầm các cải thiện kỹ thuật thành CVE khi chúng không ảnh hưởng riêng biệt đến dự án của mình.
Trả lời 3 câu hỏi ngắn để nhận điểm thưởng cho bài này. Chỉ làm khi bạn muốn lấy điểm.
3 câu hỏi · dưới một phút · không bắt buộc
Nguồn: https://adventures.nodeland.dev/archive/cve-2026-48931-shouldnt-have-been-a-cve. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Electron 43 vừa ra mắt với Chromium 150.0.7871.46, Node.js v24.17.0 và V8 15.0, cải thiện hiệu suất khởi động ứng dụng nhờ snapshot và bytecode caching, hỗ trợ cửa sổ không viền có góc bo tròn trên Linux, API quản lý thông báo mới trên macOS, và tải xuống mặc định vào thư mục Downloads. Phiên bản này cũng đánh dấu chấm dứt hỗ trợ binary 32-bit (Windows x86, Linux ARM) và có một số thay đổi phá vỡ (breaking changes) như chuẩn hóa pixel nativeImage sang SRGB.
Lập trình viên cần đọc bài này để cập nhật kiến thức về các cải tiến hiệu suất khởi động ứng dụng và tính năng mới như cửa sổ không khung trên Linux, quản lý thông báo macOS, và các thay đổi quan trọng về API như loại bỏ showHiddenFiles trên Linux để tránh rủi ro về tính bảo mật và tương thích.
Node.js 26.4.0 bổ sung nhiều tính năng mới như node:vfs (hỗ trợ mount VFS), buffer tùy chỉnh cho readFile(), package maps trong module loader, nén chứng chỉ TLS, điều khiển TCP keepalive (TCP_KEEPINTVL/TCP_KEEPCNT) cùng cải tiến xử lý kết nối HTTP. Bản phát hành cũng sửa nhiều lỗi trong streams, crypto, QUIC, SQLite, debugger và bộ theo dõi file, đồng thời cập nhật dependencies (npm 11.17.0, libffi 3.6.0, SQLite 3.53.2, ngtcp2 1.23.0) và tối ưu hiệu suất cho buffers, streams.
Lập trình viên nên đọc bài này để cập nhật về các cải tiến mới trong Node.js 26.4.0, đặc biệt là các tính năng như VFS (Virtual File System) tích hợp, tối ưu hóa TCP keepalive và cập nhật các module quan trọng như npm và libffi, giúp nâng cao hiệu suất và độ ổn định cho các ứng dụng Node.js hiện đại.
Các tác nhân AI có thể tự thực thi code, cài đặt gói và tương tác API, nhưng điều này tiềm ẩn rủi ro bảo mật khi chạy trên máy chủ của nhà phát triển. Docker SBX cung cấp cơ chế cô lập sandbox dựa trên microVM, quản lý thông tin đăng nhập qua proxy và kiểm soát truy cập mạng. Sandbox Kits đóng gói môi trường làm việc (công cụ, biến môi trường, chính sách mạng, thông tin đăng nhập) thành các blueprint tái sử dụng, gồm hai loại: Mixin Kits (bổ sung tính năng) và Agent Kits (xây dựng môi trường hoàn chỉnh).
Lập trình viên nên đọc bài này để hiểu cách Docker SBX và Sandbox Kits giúp bảo vệ môi trường phát triển khỏi rủi ro an ninh khi AI tự động hóa các tác vụ lập trình, đồng thời tối ưu hóa cách xây dựng các môi trường phát triển an toàn và tái sử dụng.
Bài viết hướng dẫn triển khai CQRS trong Node.js/TypeScript theo cách đơn giản, không cần cơ sở hạ tầng phức tạp như event sourcing hay message queues. CQRS ở đây chỉ là cách tổ chức code tách biệt logic ghi (commands) và đọc (queries), với ví dụ TypeScript cụ thể về rich write side và lean read side. Tác giả khuyên nên bắt đầu từ phân tách code đơn giản rồi nâng cấp dần khi cần thiết.
Lập trình viên nên đọc bài này để hiểu cách áp dụng CQRS một cách đơn giản và hiệu quả trong Node.js/TypeScript mà không cần phụ thuộc vào kiến trúc phức tạp, từ đó tối ưu hóa quy trình phát triển và bảo trì ứng dụng của mình.
Node.js 22.23.1 (LTS) là bản vá lỗi sửa hành vi bất ngờ từ bản phát hành bảo mật trước (22.23.0), bao gồm hai thay đổi: sửa lỗi build (chuyển coverage-windows sang windows-2022) và khắc phục lỗi HTTP tránh nghe stream trên socket agent không hoạt động.
Lập trình viên nên đọc để cập nhật kiến thức về bản vá lỗi an ninh và hiệu năng mới trong phiên bản Node.js LTS 22.23.1, giúp bảo vệ ứng dụng của bạn khỏi các vấn đề bảo mật và tối ưu hóa hiệu suất khi sử dụng trong sản xuất.
Node.js 24.18.0 LTS (tên mã 'Krypton') bổ sung nhiều cải tiến quan trọng như cập nhật chứng chỉ gốc lên NSS 3.123.1, tối ưu hóa socket HTTP idle, tăng kích thước mặc định Buffer.poolSize lên 64 KiB, bổ sung thuật toán TurboSHAKE, KangarooTwelve cho Web Cryptography, hỗ trợ mã trạng thái HTTP 1xx tùy ý, và cải thiện bảo mật crypto (chống tấn công prototype pollution, tương thích BoringSSL, hỗ trợ ML-DSA/ML-KEM JWK). Ngoài ra, phiên bản này nâng cấp npm lên 11.16.0, SQLite lên 3.53.1 cùng nhiều sửa lỗi khác.
Lập trình viên nên đọc bài này vì phiên bản Node.js mới 24.18.0 LTS mang đến những cải tiến an toàn và hiệu năng quan trọng như hỗ trợ mã hóa WebCrypto mới, nâng cấp bảo mật và cải thiện trải nghiệm phát triển với các tính năng như kiểm soát chính xác độ phủ code và tối ưu hóa stream.
Lỗ hổng ghi vượt giới hạn heap (CVE-2026-8461) có tên PixelSmash được phát hiện trong bộ giải mã MagicYUV của FFmpeg, ảnh hưởng đến nhiều ứng dụng sử dụng libavcodec như Kodi, OBS Studio, Nextcloud, PhotoPrism, Emby và Jellyfin. FFmpeg 8.1.2 đã vá lỗ hổng này, có thể gây RCE hoặc từ chối dịch vụ tùy thuộc vào điều kiện hệ thống.
Lập trình viên nên đọc bài này vì PixelSmash là lỗ hổng nghiêm trọng trong FFmpeg, có thể dẫn đến tấn công xâm nhập từ xa (RCE) hoặc cản trở hoạt động của ứng dụng sử dụng libavcodec, từ các nền tảng như Kodi đến hệ thống quản lý media như Jellyfin, ảnh hưởng đến cả hệ thống của bạn nếu không được cập nhật.

Một nhà phát triển tên Gretchen gia nhập dự án Node.js cũ kỹ sau khi bị mua lại và phát hiện hàng loạt lỗi nghiêm trọng: logging bị hỏng chỉ in ra "DEBUG", lỗ hổng SQL injection từ truy vấn thô, thiếu middleware phân quyền trên hầu hết endpoints (kể cả API admin), codebase dừng ở Node.js 14, và dữ liệu request được đưa trực tiếp vào database mà không qua bất kỳ validation nào.
Lập trình viên nên đọc bài này để tránh rơi vào những sai lầm an toàn và thiết kế không hiệu quả trong dự án Node.js, từ đó học cách cải thiện bảo mật, quản lý lỗi và tối ưu hóa hệ thống ngay từ giai đoạn đầu.