A security researcher audited the SP Project & Document Manager WordPress plugin (v4.71) and discovered an unauthenticated file disclosure vulnerability. The root cause is a logic flaw in the view_file() access gate: a negated wp_verify_nonce() call is OR-chained with all legitimate permission checks, meaning any unauthenticated visitor with no nonce bypasses all access controls for files inside project folders. A second independent bypass was found in download.php, where a missing default option value causes all permission checks to be skipped. The researcher later discovered the view_file() finding overlaps with CVE-2026-10737, filed weeks earlier. The write-up covers the full methodology, Docker-based isolated test environment setup, proof-of-concept validation, and honest reflection on independently rediscovering an already-reported bug.
Nguồn: https://infosecwriteups.com/i-found-an-unauthenticated-file-disclosure-bug-in-a-wordpress-plugin-then-found-out-i-was-a-few-8a2d5ed61556. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Nhóm phát triển PHP vừa tung ra phiên bản 8.4.23, một bản cập nhật bảo mật quan trọng cho nhánh PHP 8.4. Người dùng nên nâng cấp ngay lập tức, tải về từ trang chính thức.
Lập trình viên cần đọc để cập nhật về phí bảo mật mới trong PHP 8.4.23, giúp bảo vệ ứng dụng của mình trước các lỗ hổng nguy hiểm và duy trì an toàn cho hệ thống.
Nhóm phát triển PHP vừa phát hành phiên bản 8.2.32, tập trung vào vá lỗ hổng bảo mật. Người dùng PHP 8.2 được khuyến cáo nâng cấp ngay lập tức. Tải xuống mã nguồn và bản cài Windows tại trang tải xuống chính thức, kèm chi tiết trong bản ghi thay đổi.
Nếu bạn đang sử dụng PHP 8.2 và muốn bảo vệ hệ thống của mình khỏi các lỗ hổng bảo mật mới nhất, hãy cập nhật ngay phiên bản 8.2.32 để tránh rủi ro an ninh.
Nhóm phát triển PHP vừa công bố phiên bản 8.3.32, bản phát hành tập trung vào vá lỗ hổng bảo mật. Người dùng PHP 8.3 nên nâng cấp ngay lập tức, tải xuống từ trang chính thức.
Lập trình viên nên đọc bài này vì phiên bản mới này là một bản cập nhật an toàn (security patch) cho PHP 8.3, giúp bảo vệ hệ thống ứng dụng của bạn khỏi các lỗ hổng bảo mật mới.
Lịch trình "bug scrub" cho WordPress 7.1 đã được công bố với các buổi họp hai tuần một lần từ tháng 7 đến tháng 8 năm 2026, diễn ra trên kênh Slack #core và mở cho mọi đóng góp viên. Những ai muốn dẫn dắt buổi scrub có thể liên hệ với @adrianduffell hoặc @sajjad67 trên Slack.
Lập trình viên WordPress nên tham gia hoặc theo dõi lịch scrub bug cho phiên bản 7.1 để tham gia cải thiện chất lượng core bằng cách phát hiện và khắc phục lỗi sớm, từ đó đóng góp vào sự ổn định và hiệu suất của nền tảng.
WordPress 7.1 bổ sung tính năng responsive styling trong block editor, cho phép thiết lập kiểu dáng (font size, spacing, colors) riêng cho tablet và mobile mà không cần viết CSS. Người dùng được mời thử nghiệm bốn tình huống: đồng bộ resize handle và chế độ xem thiết bị, hoạt động của pattern/navigation editor, chỉnh sửa kiểu dáng theo viewport mới với Responsive editing toggle, và hiển thị block dựa trên thay đổi kích thước canvas. Lưu ý API getDeviceType()/setDeviceType() đã thay đổi và useResizeCanvas() bị loại bỏ.
Lập trình viên phát triển plugin hoặc theme cho WordPress nên đọc bài này để cập nhật kiến thức về thay đổi mới về responsive styling trong Gutenberg, tránh gặp vấn đề về tính tương thích và hiệu suất khi tích hợp các tính năng thiết kế đa thiết bị trong tương lai.
Bản cập nhật Gutenberg 23.5 bổ sung nhiều cải tiến mới như công cụ cắt ảnh nâng cao (bao gồm chế độ phóng đại, điều khiển pixel-snapping và điều chỉnh kích thước bằng bàn phím), hỗ trợ chỉnh sửa inline cho khối Cover, chế độ xem trước thiết bị thống nhất, hỗ trợ bóng văn bản trong Global Styles, cùng API ThemeProvider mới. Phiên bản này cũng tăng phiên bản WordPress tối thiểu lên 6.9.
Lập trình viên phát triển WordPress nên đọc để cập nhật các tính năng mới trong Gutenberg 23.5 để tối ưu hóa các plugin hoặc chủ đề của mình, đặc biệt là các cải tiến về Media Editor và thiết kế responsive, giúp cải thiện trải nghiệm người dùng và hiệu suất cho các dự án WordPress.
Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng CVE-2026-48931 (vấn đề poisoning hàng đợi response HTTP/1.1 trong http.Agent) không đáng được xếp vào danh mục CVE vì đây là đặc tính vốn có của giao thức HTTP/1.1, không phải lỗi riêng của Node.js. Bản vá ban đầu gây lỗi giả (ERR_STREAM_PREMATURE_CLOSE) do listener 'data' công khai, ảnh hưởng tới nhiều dự án như Google API, Firebase CLI, Backstage. Sau đó, lỗi được khắc phục bằng cách thay thế bằng hook nội bộ onread. Ông cũng cảnh báo về tình trạng báo cáo bảo mật do AI tạo tràn lan, dẫn đến phân loại sai CVEs.
Bạn nên đọc bài này để hiểu cách phân biệt giữa các lỗ hổng thực sự là Node.js hay là cơ chế HTTP/1.1 chung, tránh rơi vào tình trạng đánh nhầm các cải thiện kỹ thuật thành CVE khi chúng không ảnh hưởng riêng biệt đến dự án của mình.
Tigera giới thiệu Lynx, một control plane native Kubernetes nhằm quản lý các AI agent ở quy mô lớn. Lynx giám sát mọi tương tác giữa agent-tool và agent-LLM, xác thực danh tính qua Entra ID, Okta hoặc SPIFFE/SPIRE, đồng thời áp dụng chính sách chi tiết bằng ngôn ngữ Cedar. Nó sử dụng eBPF và LSM để theo dõi syscall, network call và truy cập file ở cấp kernel, phát hiện bất thường như đánh cắp credential hay di chuyển ngang.
Lập trình viên cần đọc bài này để hiểu cách xây dựng hệ thống bảo mật Kubernetes-native cho các ứng dụng AI tự động hóa, từ cơ chế xác thực đa cấp đến giám sát hành vi hệ thống bằng eBPF, giúp bảo vệ ứng dụng trước các mối đe dọa mới từ các agent AI tự chủ.