// Popular Articles
DeepSeek V4 Pro tự giải PortSwigger SQLi lab trong 3 phút — Opus 4.7 review từng tool call
Một experiment độc lập cho DeepSeek V4 Pro (mở mã, 1.6T params, vừa ra ngày 24/04/2026) tấn công lab SQL injection mức expert của PortSwigger mà không có credential. 26 tool calls, 3 phút, đăng nhập admin thành công. Claude Opus 4.7 review log: methodology sạch như sách giáo khoa, không skip bước column-count, xử lý CSRF token đúng. Đây là lý do open-weight đang đuổi sát closed model trong agentic security.
CVE-2026-40871: Second-Order SQL Injection trong Mailcow qua quarantine_category
Lỗ hổng SQL injection bậc hai trong Mailcow API cho phép attenkiếm API key trích xuất credential admin qua email notification. Payload lưu sạch trong DB, chỉ fire khi job quarantine_notify.py chạy — né WAF và scanner black-box.
CVE-2026-40871: Stored SQL Injection ẩn trong mailcow quarantine — bài học cho self-hosted email
GHSA-r8fq-wrfm-cj2q vừa được mailcow công bố ngày 16/04/2026: lỗ hổng Second-Order SQL Injection (CVSS 7.2 High) qua trường quarantine_category. Payload nằm im trong DB rồi nổ khi quarantine_notify.py chạy nền — và rò dữ liệu ra qua chính email thông báo. Đã vá trong 2026-03b.