
A security researcher discovered an unauthenticated remote code execution vulnerability in the Motorola MR2600 router. The exploit chains two flaws: a firmware upload endpoint that performs its authentication check after writing the file to disk (and never cleans up on failure), and a SOAP endpoint whose authentication logic uses inconsistent comparison operators — a substring match for allowlisted paths but an exact match for the denylisted path — allowing bypass by appending an allowlisted string as a query parameter. An attacker can upload a malicious unsigned firmware image and trigger flashing without any credentials, either from the LAN or remotely if remote management is enabled. Shodan shows at least 41 exposed devices. The router is end-of-life, its OTA update infrastructure is defunct, and Motorola's two divisions each disclaimed responsibility, leading to full public disclosure with no patch available.
Nguồn: https://mrbruh.com/motorola. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Bài viết so sánh năm phần mềm remote desktop miễn phí cho truy cập không giám sát: RustDesk, Chrome Remote Desktop, AnyDesk Free, DWService và TightVNC, dựa trên yếu tố dễ sử dụng, tính năng và trường hợp sử dụng lý tưởng. Ngoài ra, bài viết còn đề cập đến các phương pháp bảo mật, mẹo tối ưu hiệu suất và sự khác biệt giữa giấy phép cá nhân và doanh nghiệp giữa các gói miễn phí và trả phí.
Lập trình viên nên đọc bài này để tìm hiểu cách tối ưu hóa và bảo mật kết nối từ xa tự động cho các môi trường phát triển, debug hoặc quản lý máy chủ mà không cần can thiệp trực tiếp từ người dùng.
Phiên bản 8.14.0 của gói npm jscrambler (phát hành 11/7/2026) chứa mã độc trong hook preinstall, tải xuống và thực thi file binary đa nền tảng (Linux/Windows/macOS) nhằm đánh cắp thông tin đăng nhập và ví tiền điện tử. Kích thước gói tăng đột biến từ 37,8 KB lên 7,9 MB do ẩn chứa 3 file thực thi nén gzip. Người dùng đã cài đặt phiên bản này cần coi máy bị xâm nhập, hạ xuống 8.13.0, đổi mật khẩu và kiểm tra tiện ích ví tiền.
Lập trình viên nên đọc bài này để cảnh giác về nguy cơ phishing npm và cách bảo vệ dự án của mình khỏi các gói npm bị lừa đảo, đặc biệt khi sử dụng các thư viện có kích thước bất thường hoặc thay đổi đột ngột trong phiên bản mới.
Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng CVE-2026-48931 (vấn đề poisoning hàng đợi response HTTP/1.1 trong http.Agent) không đáng được xếp vào danh mục CVE vì đây là đặc tính vốn có của giao thức HTTP/1.1, không phải lỗi riêng của Node.js. Bản vá ban đầu gây lỗi giả (ERR_STREAM_PREMATURE_CLOSE) do listener 'data' công khai, ảnh hưởng tới nhiều dự án như Google API, Firebase CLI, Backstage. Sau đó, lỗi được khắc phục bằng cách thay thế bằng hook nội bộ onread. Ông cũng cảnh báo về tình trạng báo cáo bảo mật do AI tạo tràn lan, dẫn đến phân loại sai CVEs.
Bạn nên đọc bài này để hiểu cách phân biệt giữa các lỗ hổng thực sự là Node.js hay là cơ chế HTTP/1.1 chung, tránh rơi vào tình trạng đánh nhầm các cải thiện kỹ thuật thành CVE khi chúng không ảnh hưởng riêng biệt đến dự án của mình.
Nhóm phát triển PHP vừa tung ra phiên bản 8.4.23, một bản cập nhật bảo mật quan trọng cho nhánh PHP 8.4. Người dùng nên nâng cấp ngay lập tức, tải về từ trang chính thức.
Lập trình viên cần đọc để cập nhật về phí bảo mật mới trong PHP 8.4.23, giúp bảo vệ ứng dụng của mình trước các lỗ hổng nguy hiểm và duy trì an toàn cho hệ thống.
GhostLock (CVE-2026-43499) là lỗ hổng use-after-free (UAF) trên stack nhân Linux tồn tại từ năm 2011 đến nay trong tất cả bản phân phối lớn, xuất phát từ hàm remove_waiter() của rtmutex khi xử lý deadlock FUTEX_CMP_REQUEUE_PI. Lỗ hổng này cho phép khai thác leo thang từ LPE lên RCE thông qua chuỗi tấn công gồm KASLR leak, ghi đè con trỏ giới hạn, hijack control flow bằng gói UDP IPv6, và kỹ thuật DirtyMode để chiếm quyền ghi core_pattern.
Lập trình viên cần đọc bài này để hiểu cách exploit stack-UAF trong kernel Linux, đặc biệt là cách leverage FUTEX_PI deadlock để tạo ra các lỗ hổng bảo mật nghiêm trọng, từ đó học cách phân tích và phòng ngừa các lỗ hổng tương tự trong hệ thống của mình.
Bản cập nhật tuần này của Metasploit bổ sung ba module khai thác mới: RCE qua tiêm prompt vào Flowise CSV Agent (CVE-2026-41264), module persistence Apache .htaccess cài web shell mod_cgi trên Linux, và leo quyền nâng cao macOS thông qua PackageKit lợi dụng ~/.zshenv (CVE-2024-27822). Các cải tiến bao gồm nhận diện FTP bằng recog, bổ sung trường MCP Server tool, theo dõi yêu cầu chứng chỉ AD CS, và đầu ra trace Kerberos chi tiết hơn. Bản cập nhật cũng khắc phục lỗi sinh EXE AARCH64 cho Windows và bất đồng kiểu SID trong module RBCD.
Lập trình viên phát triển an ninh mạng hoặc bảo mật hệ thống nên đọc để cập nhật các lỗ hổng mới như CVE-2026-41264 và CVE-2024-27822, giúp họ xây dựng các giải pháp phòng ngừa và khắc phục nhanh chóng trước các cuộc tấn công mới nổi.
Tại hội nghị DASH 2026 của Datadog ở New York, hơn 170 sản phẩm và tính năng mới đã được giới thiệu, tập trung vào AI-driven operations (Bits AI) như phát hiện mối đe dọa, khắc phục sự cố, tối ưu hóa cơ sở dữ liệu, đánh giá mô hình và săn lùng mối đe dọa. Bên cạnh đó, khả năng quan sát (observability) được mở rộng với quản lý cấu hình mạng, giám sát hành trình người dùng và tự động tối ưu chi phí. Sự kiện còn có hơn 100 phiên kỹ thuật với sự tham gia của các chuyên gia từ OpenAI, Anthropic, Hugging Face, Vercel cùng chia sẻ từ khách hàng như Samsung, Figma và Volkswagen Group. Ngoài ra, khu vực bảo mật được mở rộng, thành lập các đại diện khu vực tại Nhật Bản, Hàn Quốc, Brazil và diễn ra Hội nghị Đối tác lần thứ năm.
Lập trình viên cần đọc để khám phá cách AI như Bits AI của Datadog tự động tối ưu hóa hệ thống, phát hiện lỗi và bảo vệ ứng dụng, giúp nâng cao hiệu suất và an toàn trong phát triển phần mềm.
Giám đốc công nghệ toàn cầu (CTO) Jonathan Zanger của Check Point Software cho rằng AI đang thay đổi cả tấn công lẫn phòng thủ mạng, buộc phải chuyển từ bảo mật xác định (deterministic) sang phương pháp mới do bản chất phi xác định (non-deterministic) của AI. Ông nhấn mạnh AI vừa mở rộng khả năng tấn công (phishing, ransomware, malware) vừa nâng cao phòng thủ (Check Point sử dụng ~300 agent AI cho kiểm thử đỏ liên tục), đồng thời cảnh báo về lỗ hổng trong mọi nền tảng AI và nhấn mạnh ba ưu tiên: bảo vệ ứng dụng AI, bảo mật hoạt động phòng thủ bằng AI, và chống tấn công do AI thúc đẩy, kèm theo nhu cầu giải thích quyết định chặn tự động.
Là lập trình viên phát triển hệ thống AI hoặc bảo mật, bạn nên đọc bài này để hiểu cách AI thay đổi cơ sở hạ tầng bảo mật, từ đó tối ưu hóa cách xây dựng hệ thống an toàn và phòng ngừa các rủi ro mới từ các cuộc tấn công do AI tạo ra.