// Popular Articles
Claude pop calc trong Ladybird: RCE WebAssembly chỉ trong vài giờ
Calif giao source tree của Ladybird cho Claude. Vài giờ sau, một chain use-after-free trong WebAssembly binding chạy được calc. Không phải vì Claude biết Ladybird — mà vì nó đã đọc hết JSC và V8.
Breeze Cache CVE-2026-3844: Lỗ hổng RCE đang bị khai thác trên 400K+ site WordPress
Plugin Breeze Cache của Cloudways dính lỗ hổng upload file tùy ý không cần xác thực (CVSS 9.8). Hacker đã bắt đầu tấn công hàng loạt — update lên 2.4.5 hoặc tắt 'Host Files Locally' ngay hôm nay.
CVE-2026-4821: Lỗ hổng RCE trên GitHub Enterprise Server vừa được công bố
Researcher Seokchan Yoon công bố lỗ hổng command injection (CWE-78) trên Management Console của GitHub Enterprise Server — cho phép admin chèn shell metacharacter vào proxy config như http_proxy để chạy lệnh tuỳ ý trên appliance. CVSS 8.1, đã được patch trong GHES 3.20.1 và loạt 7 nhánh hỗ trợ.
CVE-2026-39808: Một HTTP request biến FortiSandbox thành root shell
Lỗi OS command injection pre-auth trong FortiSandbox 4.4.0–4.4.8 cho phép bất kỳ ai gửi 1 request GET duy nhất để chiếm root. Param jid trên endpoint tracer-behavior đi thẳng vào shell. Patch: 4.4.9+. PoC đã public trên GitHub.
Now You See mi: RCE không dây trên Xiaomi C400 — TASZK mổ xẻ miIO
TASZK Security Labs công bố full exploit chain ba lỗ hổng trong giao thức miIO của Xiaomi: auth bypass, PRNG yếu (đoán được sau ~22 gói), và heap buffer overflow qua UDP 54321 — đủ để RCE camera C400 từ trong tầm Wi-Fi. 6.5 tháng sau báo cáo, Xiaomi vẫn chưa vá và chưa cấp CVE.
File Upload Bypass Cheat Sheet: 13 Extension-Splitting Tricks Every Bug Bounty Hunter Should Know
Extension checks aren't security. Attackers bypass file upload filters with double extensions, null bytes, NTFS alternate data streams, RTL overrides, and magic byte forgery — all leading to RCE. Here's the full cheat sheet and how to defend.
CVE-2026-5760: SGLang dính RCE không cần auth vì render Jinja2 chat template không sandbox
Lỗ hổng CVSS 9.8 trong SGLang cho phép attacker RCE qua file GGUF độc. Gốc rễ: /v1/rerank dùng jinja2.Environment() thay vì ImmutableSandboxedEnvironment. PoC đã public, vendor chưa phản hồi.
Marimo Pre-Auth RCE (CVE-2026-39987): 1 WebSocket là đủ mở root shell
Endpoint /terminal/ws của Marimo quên gọi validate_auth() — attacker chưa đăng nhập vẫn spawn được PTY shell. CVSS 9.3, exploit in-the-wild chỉ 9h41m sau disclosure. Nâng cấp 0.23.0 ngay.
CVE-2026-41242: Lỗ hổng RCE critical trong protobuf.js — 52 triệu lượt tải/tuần bị ảnh hưởng
Endor Labs phát hiện lỗ hổng code injection nghiêm trọng (CVSS 9.4) trong protobuf.js: chỉ cần một file schema độc hại là app có thể bị RCE ngay khi decode message đầu tiên. Ảnh hưởng gRPC, Firebase, Google Cloud SDKs. Patch có sẵn ở 8.0.1 và 7.5.5.
Critical RCE in protobuf.js (GHSA-xq3m-2v4x-88gg): A Malicious Schema Is All It Takes
Endor Labs disclosed a CVSS 9.9 code-execution flaw in protobuf.js — the 52M-downloads-per-week JavaScript Protobuf library. Loading an attacker-controlled .proto schema is enough to run arbitrary code on the host. Here's the root cause, the one-line patch, and who's actually exposed.