Đang tải bảng tin…
RUBYLAND00 bình luận1 phút đọc
CVE-2026-49342 (yard): YARD static cache reads raw traversal paths before router sanitization
Tóm tắt bởi AI
Lỗ hổng path traversal mức trung bình (CVE-2026-49342, CVSS 5.3) trong gem YARD Ruby cho phép đọc file .html ngoài thư mục tĩnh do YARD đọc đường dẫn request trước khi xử lý sanitization. Bản vá đã có trong YARD 0.9.44.
Vì sao nên đọc: Lập trình viên cần đọc bài này để tránh bị ảnh hưởng bởi lỗ hổng bảo mật trong YARD, đặc biệt là khi sử dụng gem này trong dự án Ruby, và hiểu cách bảo vệ hệ thống khỏi các cuộc tấn công đường dẫn vượt qua (path traversal) trong các ứng dụng đã tích hợp YARD.
Nguồn: https://rubysec.com/advisories/CVE-2026-49342. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Đề xuất cho bạn
portkey16 phútAI
Why Every Agent Vulnerability is a Trust Boundary Failure
Mọi lỗ hổng trong agent AI đều là thất bại trong việc thiết lập ranh giới tin cậy (trust boundary), không phải do mô hình hay công cụ. Bài viết phân tích bốn vector tấn công chính: tiêm prompt qua kết quả công cụ, giả mạo danh tính trong cuộc gọi giữa agent, tấn công "bom ngân sách" từ vòng lặp vô tận, và nhiễm độc công cụ qua sự sai lệch của MCP server. Giải pháp đề xuất là áp dụng các kiểm soát hạ tầng như Portkey's Agent Gateway, MCP Registry, LLM Gateway để ngăn chặn hoặc phát hiện các cuộc tấn công này.
Lập trình viên nên đọc bài này để hiểu cách bảo vệ hệ thống AI agent khỏi các lỗ hổng nghiêm trọng không phụ thuộc vào lỗi của mô hình hay công cụ, mà liên quan đến việc thiết lập và kiểm soát biên giới tin cậy—đặc biệt là khi các agent tự quyết định sử dụng các công cụ và giao tiếp với nhau.
