CVE-2026-20896, a critical 9.8 CVSS vulnerability in the official Gitea Docker image, is now under active exploitation just 13 days after a patch was released. The flaw stems from the Docker image's default app.ini setting REVERSE_PROXY_TRUSTED_PROXIES being set to a wildcard, allowing any attacker who can reach the container's HTTP port to impersonate any user, including admins, by forging a single X-WEBAUTH-USER header. Sysdig researchers detected the first in-the-wild probing attempt originating from a ProtonVPN exit node. With roughly 6,200 internet-facing Gitea instances indexed on Shodan, the risk is significant given that Gitea typically stores source code, CI configs, API keys, and deployment credentials. Gitea versions 1.26.3 and 1.26.4 fix this bug along with nine other issues including SSRF, branch-permission escalation, TOTP replay, and an OAuth2 reactivation flaw. Admins should update immediately, restrict REVERSE_PROXY_TRUSTED_PROXIES to the actual proxy address, and audit admin session logs.
Nguồn: https://latesthackingnews.com/2026/07/07/gitea-docker-vulnerability-exploitation. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
AnduinOS Container là một base image Docker mới, được xây dựng từ đầu bằng pipeline …
Nhóm phát triển PHP vừa tung ra phiên bản 8.4.23, một bản cập nhật bảo mật quan trọng cho …
Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng …
Microsoft vừa tung WSL containers ra bản preview công khai, tích hợp hỗ trợ container Linux gốc trực tiếp trong Windows Subsystem for Linux. Tính năng mới bổ sung công cụ CLI wslc.exe cho toàn bộ quy trình container (chạy, gỡ lỗi, kiểm thử) cùng API dựa trên NuGet (hỗ trợ C, C++, C#) giúp ứng dụng Windows sử dụng container Linux theo chương trình. Doanh nghiệp có thể tích hợp Microsoft Defender for Endpoint, chính sách quản lý Intune/GPO, và hỗ trợ dev containers trong VS Code. WSL container sử dụng hệ thống tập tin virtiofs (tăng tốc độ truy cập file Windows gấp đôi), chế độ mạng 'consomme' cải thiện tương thích VPN/proxy, và tối ưu tái sử dụng bộ nhớ. Người dùng có thể trải nghiệm ngay bằng lệnh wsl --update --pre-release, dự kiến phát hành chính thức vào mùa thu 2026.
Lập trình viên cần đọc bài này để khám phá cách tích hợp container Linux trực tiếp vào WSL, giúp tối ưu hóa công cụ chạy, debug và test ứng dụng cho các ngôn ngữ C/C++/C# trên Windows một cách hiệu quả và an toàn hơn.
Lỗ hổng bảo mật chưa được vá trong Argo CD cho phép kẻ tấn công thực thi mã từ xa không cần xác thực và chiếm quyền kiểm soát toàn bộ cụm Kubernetes. Lỗ hổng nằm ở giao diện gRPC không có cơ chế xác thực của thành phần repo-server, cho phép kẻ tấn công tiêm mã độc KustomizeOptions nếu đã xâm nhập vào cụm.
Lập trình viên cần đọc bài này để hiểu cách bảo mật Kubernetes bị lỗ hổng nghiêm trọng trong Argo CD, từ đó cập nhật kiến thức về các rủi ro mới và cách phòng ngừa, đặc biệt khi sử dụng công cụ GitOps trong môi trường sản xuất.
Microsoft đã phát hành tính năng WSL containers dưới dạng preview công khai, cho phép chạy …
Bài viết hướng dẫn xây dựng pipeline dữ liệu thời tiết toàn diện bằng các công cụ mã nguồn mở: Airflow điều phối, PostgreSQL lưu trữ, Metabase tạo dashboard BI, tất cả chạy trên Docker. Dữ liệu được thu thập mỗi giờ từ WeatherAPI cho các thủ phủ bang Brazil, xử lý qua DAG nhiều tầng của Airflow, rồi hiển thị dưới dạng dashboard thời tiết hiện tại, lịch sử và dự báo trên Metabase.
Lập trình viên muốn tự động hóa và tích hợp các công cụ phân tích dữ liệu từ API đến báo cáo trực quan sẽ tìm hiểu cách xây dựng một pipeline hoàn chỉnh với Airflow, PostgreSQL và Metabase để tối ưu hóa quy trình xử lý và chia sẻ thông tin thời tiết hiệu quả.
Một chiến dịch phishing giả mạo hơn 30 thương hiệu lớn như Adobe, Netflix, Coca-Cola và OpenAI nhằm nhắm vào chuyên gia marketing qua email phỏng vấn việc làm giả. Kẻ tấn công lợi dụng các nền tảng hợp pháp như PeopleForce và Salesforce Marketing Cloud để tạo chuỗi redirect lồng nhau, dẫn nạn nhân đến trang landing độc hại, nơi sử dụng kỹ thuật browser-in-the-browser (BitB) để hiển thị popup đăng nhập Google giả mạo, đánh cắp thông tin tài khoản. Chiến dịch đã hoạt động ít nhất 5 tháng, sử dụng tên và ảnh thật của nhà tuyển dụng để tăng độ tin cậy.
Lập trình viên nên đọc bài này để hiểu cách các cuộc tấn công phishing hiện đại sử dụng kỹ thuật browser-in-the-browser và chaining redirect để trộm mật khẩu Google, từ đó nâng cao kiến thức bảo mật cho ứng dụng web và hệ thống của mình.