// Popular Articles
CVE-2026-40871: Stored SQL Injection ẩn trong mailcow quarantine — bài học cho self-hosted email
GHSA-r8fq-wrfm-cj2q vừa được mailcow công bố ngày 16/04/2026: lỗ hổng Second-Order SQL Injection (CVSS 7.2 High) qua trường quarantine_category. Payload nằm im trong DB rồi nổ khi quarantine_notify.py chạy nền — và rò dữ liệu ra qua chính email thông báo. Đã vá trong 2026-03b.
PanicLock: nút khẩn cấp tắt Touch ID và khóa máy Mac chỉ bằng một cú click
iOS có kill switch cho Face ID, còn macOS thì không — cho đến khi PanicLock xuất hiện. App Swift mã nguồn mở, MIT-licensed, nằm gọn trên menu bar, tắt Touch ID tức thì để buộc unlock bằng mật khẩu khi cần bảo vệ dữ liệu nhạy cảm ở biên giới hoặc trong tình huống bị ép buộc.
Critical RCE in protobuf.js (GHSA-xq3m-2v4x-88gg): A Malicious Schema Is All It Takes
Endor Labs disclosed a CVSS 9.9 code-execution flaw in protobuf.js — the 52M-downloads-per-week JavaScript Protobuf library. Loading an attacker-controlled .proto schema is enough to run arbitrary code on the host. Here's the root cause, the one-line patch, and who's actually exposed.
Google mở mã Magika: model AI nhận diện file type 99% chính xác, 5ms trên CPU
Google vừa open-source Magika — model deep learning 1MB phát hiện 200+ loại file với F1 99%, nhanh 5ms/file chỉ trên CPU. Đang chạy scan hàng trăm tỷ file/tuần trên Gmail, Drive, Safe Browsing và VirusTotal. Version 1.0 vừa ra mắt với engine Rust mới.