// Popular Articles
CVE-2026-4821: Lỗ hổng RCE trên GitHub Enterprise Server vừa được công bố
Researcher Seokchan Yoon công bố lỗ hổng command injection (CWE-78) trên Management Console của GitHub Enterprise Server — cho phép admin chèn shell metacharacter vào proxy config như http_proxy để chạy lệnh tuỳ ý trên appliance. CVSS 8.1, đã được patch trong GHES 3.20.1 và loạt 7 nhánh hỗ trợ.
CVE-2026-39808: Một HTTP request biến FortiSandbox thành root shell
Lỗi OS command injection pre-auth trong FortiSandbox 4.4.0–4.4.8 cho phép bất kỳ ai gửi 1 request GET duy nhất để chiếm root. Param jid trên endpoint tracer-behavior đi thẳng vào shell. Patch: 4.4.9+. PoC đã public trên GitHub.