// Popular Articles
Vercel xác nhận: không có npm package nào bị xâm nhập sau vụ breach tháng 4/2026
Sau khi ShinyHunters rao bán dữ liệu nội bộ Vercel trên BreachForums với giá 2 triệu USD, đội ngũ bảo mật Vercel — phối hợp cùng GitHub, Microsoft, npm và Socket — đã hoàn tất audit chuỗi cung ứng và khẳng định: không có gói npm nào do Vercel phát hành bị can thiệp. Next.js, Turbopack và toàn bộ open-source ecosystem vẫn an toàn. Tuy nhiên, đây không phải là dấu chấm hết — khách hàng trực tiếp của Vercel vẫn cần rotate toàn bộ env vars non-sensitive.
Google đã build một vulnerability scanner và open-source nó: OSV-Scanner
OSV-Scanner của Google quét lockfiles, container images và cả C/C++ vendored code, đối chiếu từng dependency với database OSV.dev. 11+ ecosystem, call analysis loại bỏ alert nhiễu, guided remediation gợi ý version upgrade tối ưu, chạy được offline. Free, Apache-2.0.
CVE-2026-41242: Lỗ hổng RCE critical trong protobuf.js — 52 triệu lượt tải/tuần bị ảnh hưởng
Endor Labs phát hiện lỗ hổng code injection nghiêm trọng (CVSS 9.4) trong protobuf.js: chỉ cần một file schema độc hại là app có thể bị RCE ngay khi decode message đầu tiên. Ảnh hưởng gRPC, Firebase, Google Cloud SDKs. Patch có sẵn ở 8.0.1 và 7.5.5.
Critical RCE in protobuf.js (GHSA-xq3m-2v4x-88gg): A Malicious Schema Is All It Takes
Endor Labs disclosed a CVSS 9.9 code-execution flaw in protobuf.js — the 52M-downloads-per-week JavaScript Protobuf library. Loading an attacker-controlled .proto schema is enough to run arbitrary code on the host. Here's the root cause, the one-line patch, and who's actually exposed.