CyStack

(English below) 📣 CẢNH BÁO BẢO MẬT: Lỗ hổng Path Traversal trong Notepad++ cho phép thực thi mã tùy ý (GHSA-p58x-r3c9-x9p6) 👨 Chuyên gia bảo mật Trung Nguyễn đến từ CyStack đã phát hiện lỗ hổng mức Cao (CVSS 7.8) trong Notepad++, trình soạn thảo văn bản mã nguồn mở phổ biến nhất trên Windows. ☑️ Lỗ hổng GHSA-p58x-r3c9-x9p6 là bypass của bản vá CVE-2026-48800. Hàm isInTrustedDirectory() không chuẩn hóa đường dẫn trước khi kiểm tra, cho phép kẻ tấn công dùng path traversal (..\..\ ) để vượt qua xác thực thư mục tin cậy và thực thi mã tùy ý mà không hiện cảnh báo. Phiên bản bị ảnh hưởng: Notepad++ v8.9.6.1 Phiên bản đã vá: v8.9.6.2 Người dùng được khuyến nghị cập nhật ngay lập tức. 📌 Chi tiết xem tại: https://lnkd.in/gr4TCUDB Xem toàn bộ Responsible Disclosures: https://lnkd.in/gkuFK7DG --- 📣 SECURITY ADVISORY: Path Traversal Vulnerability in Notepad++ Leads to Arbitrary Code Execution (GHSA-p58x-r3c9-x9p6) 👨 Trung Nguyen, security expert from CyStack has identified a High-severity vulnerability (CVSS 7.8) in Notepad++, the most popular open-source text editor on Windows. ☑️ GHSA-p58x-r3c9-x9p6 is a bypass of the CVE-2026-48800 patch. The isInTrustedDirectory() function does not canonicalize the path before validation, allowing attackers to use path traversal (..\..\ ) to bypass trusted directory checks and execute arbitrary code without any warning dialog. Affected version: Notepad++ v8.9.6.1 Patched version: v8.9.6.2 Users are advised to update immediately. 📌 Details: https://lnkd.in/gr4TCUDB View all CyStack Responsible Disclosures: https://lnkd.in/gERanzju #CyStack #CyberSecurity #Vulnerability #NotepadPlusPlus #PathTraversal #RCE #Windows #InfoSec --- CyStack - Fight against cyber threats 📧 Mail: contact@cystack.net 🌐 Website: https://www.cystack.net

⏰ CHÚ Ý: CHỈ CÒN 1 TIẾNG NỮA WEBINAR BẮT ĐẦU Webinar "SDLC Thực Chiến - Những Điều KTV Nội Bộ Cần Biết" chính thức bắt đầu lúc 19h00 tối nay Bảy câu hỏi thực chiến cho cả người xây hệ thống và người kiểm soát hệ thống: từ giai đoạn dễ bị xem nhẹ, đến điểm gãy khó nhận ra. Cùng tìm ra đáp án cho câu hỏi AI đang giúp gì trong cả vòng đời phát triển? 🎙️ Diễn giả Trung Nguyễn (CyStack) và Anh Châu Thành Tài (RECS Việt Nam) đã sẵn sàng để trao đổi cùng bạn trong buổi tối hôm nay 📅 Sự kiện mở cửa tự do vào lúc 19h00 - 20h00, ngày 21/05/2026 🔗 Tham gia ngay tại: https://lnkd.in/gU9HBf7v Đặt sẵn cốc cà phê, mở tab Teams - Gặp nhau trong 60 phút nữa nhé! #CyStack #RECSVietnam #SDLC #InternalAudit --- CyStack - Fight against cyber threats 📧 Mail: contact@cystack.net 🌐 Website: https://www.cystack.net

Free Webinar | SDLC Thực Chiến: Những Điều Kiểm Toán Viên Nội Bộ Cần Biết Nhiều tổ chức vẫn vận hành theo mô thức quen thuộc: đội phát triển lo phần kỹ thuật, đội kiểm toán nội bộ kiểm tra sau cùng. Khoảng trống giữa hai bên thường chỉ lộ ra khi dự án trễ tiến độ, hệ thống phát sinh sự cố, hoặc một rủi ro tuân thủ được phát hiện muộn. Ngày 21/05/2026, CyStack phối hợp với RECS Việt Nam tổ chức buổi talkshow trực tuyến, dành riêng cho hai nhóm độc giả tưởng chừng tách biệt nhưng thực chất đang nhìn về cùng một quy trình: lãnh đạo công nghệ và lãnh đạo kiểm soát nội bộ. 👉 Sai lầm phổ biến ở giai đoạn đầu SDLC và tác động xuyên suốt vòng đời dự án. 👉 Tiêu chí lựa chọn phương pháp luận phát triển phù hợp đặc thù từng tổ chức. 👉 Điểm nghẽn khi thực chiến: Giai đoạn rủi ro nhất và dấu hiệu cảnh báo sớm. 👉 Khoảng cách giữa quy trình trên tài liệu và khi thực thi. 👉 Vai trò của AI trong SDLC: Cơ hội tăng tốc và rủi ro mới phát sinh. 👉 Ba chỉ số đầu tiên để đánh giá sức khỏe SDLC từ góc nhìn lãnh đạo. Diễn giả: Anh Nguyễn Hữu Trung - Founder & CEO CyStack, chuyên gia an ninh mạng và quản trị vòng đời phát triển phần mềm. Moderator: Anh Châu Thành Tài - Founder & MD RECS Việt Nam, chuyên gia kiểm toán nội bộ và quản trị rủi ro. 🗓 Thời gian: 19h00 – 20h00, Thứ Năm 21/05/2026 💻 Hình thức: Trực tuyến qua MS Teams 💼 Phí tham dự: Miễn phí, tham gia tự do Đăng ký tham dự tại: https://lnkd.in/gAMZg7dB #SDLC #InternalAudit #CyberSecurity #RiskManagement #CyStack #RECSVietnam #SecureSDLC #TechLeadership --- CyStack - Fight against cyber threats 📧 Mail: contact@cystack.net 🌐 Website: https://www.cystack.net

(Read the English version below) 🏅 Sinh viên năm 4 Đại học Bách khoa Hà Nội phát hiện lỗ hổng nghiêm trọng trên NukeViet CMS 🧑 Nguyễn Quang Bằng, sinh viên năm 4 ngành Khoa học Máy tính tại Đại học Bách khoa Hà Nội, vừa được NukeViet vinh danh sau khi báo cáo thành công một lỗ hổng Stored XSS trên nền tảng CMS mã nguồn mở này. Báo cáo gửi qua chương trình Bug Bounty trên WhiteHub - nền tảng săn lỗ hổng nhận thưởng do CyStack vận hành. ⚠️ Stored XSS thuộc nhóm tấn công nguy hiểm bậc nhất với hệ thống quản trị nội dung. Khai thác thành công, kẻ tấn công có thể thực thi thao tác cấp quản trị viên cao, sửa giao diện hệ thống hoặc can thiệp email tự động gửi cho admin của những website đang chạy NukeViet. ✅ Đội ngũ VINADES đã thực hiện xác nhận và vá xong chỉ trong 1-2 ngày, mời chính researcher tham gia kiểm định độc lập trước khi phát hành bản sửa trên GitHub. Quản trị viên đang dùng NukeViet được khuyến nghị nâng cấp sớm lên 4.5.08 hoặc mới hơn. 🔗 Xem chi tiết bài phỏng vấn tại Tạp chí An ninh mạng Việt Nam: https://lnkd.in/g3uPpUN4 --- 🏅 4th-year student at Hanoi University of Science and Technology discovers critical vulnerability in NukeViet CMS 🧑 Nguyen Quang Bang, a 4th-year Computer Science student at Hanoi University of Science and Technology, has been honored by NukeViet after responsibly disclosing a Stored XSS vulnerability in the open-source CMS. The report was filed through a Bug Bounty program on WhiteHub - the bug bounty platform operated by CyStack. ⚠️ Stored XSS is among the most severe attack classes targeting content management systems. Successful exploitation could allow attackers to perform senior administrator actions, modify the system's user interface, or tamper with the content of automated emails sent to admins on websites running NukeViet. ✅ The VINADES team confirmed and patched the issue within just 1-2 days, inviting the researcher to perform an independent retest before publishing the fix on GitHub. Administrators currently running NukeViet are advised to upgrade to version 4.5.08 or later as soon as possible. 🔗 Read the full interview on Vietnam Cybersecurity Magazine or learn more from our English translation at: https://lnkd.in/ghwWRSbE #CyStack #WhiteHub #BugBounty #NukeViet #CyberSecurity --- CyStack - Fight against cyber threats ☎️ Hotline: (+84) 247 109 9656 📧 Mail: contact@cystack.net 🌐 Website: https://www.cystack.net 🏢 Address: 317 Truong Chinh, Phuong Liet, Ha Noi

(English below) 📣 CẢNH BÁO BẢO MẬT: Lỗ hổng Unsafe Deserialization trong LangChain (CVE-2026-44843) 👨 Chuyên gia bảo mật phucnd từ đội ngũ CyStack đã phát hiện lỗ hổng mức Cao (CVSS 8.2) trong langchain-core, thành phần cốt lõi của LangChain - framework phát triển ứng dụng AI/LLM được sử dụng rộng rãi nhất hiện nay. ☑️ Lỗ hổng CVE-2026-44843 (Unsafe Deserialization) cho phép kẻ tấn công khai thác cơ chế deserialization của hàm load() để đầu độc lịch sử chat, thực hiện Prompt Injection, tạo cơ chế lộ lọt thông tin xác thực thông qua các API bị ảnh hưởng. Phiên bản bị ảnh hưởng: langchain-core <=0.3.84 và <=1.3.2 Phiên bản đã vá: 0.3.85 và 1.3.3 Người dùng được khuyến nghị nâng cấp ngay và không truyền dữ liệu người dùng trực tiếp qua các phương thức có rủi ro cao. 📌 Chi tiết: https://lnkd.in/giqkYdYw Xem toàn bộ Responsible Disclosures: https://lnkd.in/gERanzju --- 📣 SECURITY ADVISORY: Unsafe Deserialization Vulnerability in LangChain (CVE-2026-44843) 👨 Security researcher phucnd from the CyStack team has discovered a vulnerability in langchain-core, the foundational library of LangChain - the most widely adopted AI/LLM application development framework. ☑️ CVE-2026-44843 (Unsafe Deserialization) is rated High severity with a CVSS score of 8.2, allowing attackers to poison chat history, perform Prompt Injection, or disclose credentials through affected APIs. Users are advised to upgrade langchain-core to version 0.3.85 or 1.3.3. Do not pass user-controlled data directly through high-risk methods. Full details: https://lnkd.in/giqkYdYw See all CyStack Responsible Disclosures: https://lnkd.in/gERanzju #CyStack #CyberSecurity #Vulnerability #LangChain #AI #LLM #PromptInjection --- CyStack - Fight against cyber threats 📧 Mail: contact@cystack.net 🌐 Website: https://www.cystack.net

(English below) 📣 KHUYẾN NGHỊ BẢO MẬT: Lỗ hổng SQL Injection và Unauthorized Document Modification trong ERPNext 👨 Chuyên gia bảo mật vnth4nhnt từ đội ngũ CyStack phát hiện ba lỗ hổng nghiêm trọng trong ERPNext - nền tảng ERP mã nguồn mở do Frappe phát triển, được hàng nghìn doanh nghiệp trên toàn cầu sử dụng. ☑️ Chi tiết ba lỗ hổng: CVE-2026-44442 - Unauthorized Document Modification (Critical, CVSS 9.9): Một số endpoint không kiểm tra phân quyền đúng cách, cho phép người dùng sửa đổi dữ liệu vượt ngoài quyền hạn được cấp. CVE-2026-44446 - SQL Injection (High, CVSS 8.8): Endpoint chứa lỗ hổng SQL Injection cho phép kẻ tấn công trích xuất thông tin nhạy cảm thông qua request được thiết kế đặc biệt. CVE-2026-44447 - SQL Injection (High, CVSS 8.8): Lỗ hổng SQL Injection tương tự trên một nhóm endpoint khác, cùng mức độ ảnh hưởng. Khuyến nghị: Nâng cấp ERPNext lên phiên bản đã vá lỗi (16.9.1, 16.14.0 hoặc 15.104.3 tùy nhánh đang sử dụng). Rà soát log truy cập để phát hiện dấu hiệu khai thác bất thường. Chi tiết từng advisory: https://lnkd.in/d2XEggYD https://lnkd.in/dj6V3v4W https://lnkd.in/duAPN3uK Xem toàn bộ Responsible Disclosures của CyStack: https://lnkd.in/gERanzju --- 📣 SECURITY ADVISORY: SQL Injection and Unauthorized Document Modification Vulnerabilities in ERPNext 👨 Security researcher vnth4nhnt from the CyStack team has identified three significant vulnerabilities in ERPNext, the widely adopted open-source ERP platform built by Frappe, trusted by thousands of businesses globally. ☑️ Vulnerability details: CVE-2026-44442 - Unauthorized Document Modification (Critical, CVSS 9.9): Certain endpoints failed to enforce proper authorization checks, allowing users to modify data beyond their permitted role. CVE-2026-44446 - SQL Injection (High, CVSS 8.8): Some endpoints were vulnerable to SQL injection through specially crafted requests, enabling extraction of sensitive information. CVE-2026-44447 - SQL Injection (High, CVSS 8.8): A similar SQL injection flaw in a separate set of endpoints with the same impact level. Recommendation: Upgrade ERPNext to the latest patched versions (16.9.1, 16.14.0, or 15.104.3 depending on your branch). Review access logs for any signs of suspicious activity. Full advisory details: https://lnkd.in/d2XEggYD https://lnkd.in/dj6V3v4W https://lnkd.in/duAPN3uK View all CyStack Responsible Disclosures: https://lnkd.in/gERanzju #CyStack #CyberSecurity #Vulnerability #ERPNext #Frappe #SQLInjection #ERP #InfoSec #ResponsibleDisclosure --- CyStack - Fight against cyber threats ☎️ Hotline: (+84) 247 109 9656 📧 Mail: contact@cystack.net 🌐 Website: https://www.cystack.net

Six months ago, I was building on top of LangChain for my thesis (a local AI agent for penetration testing). Last week, my name appeared on a LangChain security advisory. The thesis turned into a degree (graduated with highest distinction). Along the way, while studying how the framework deserializes runtime objects, I found something that didn't sit right and reported it. CVE-2026-44843 was published this week. High severity. Unsafe deserialization in langchain-core, patched in 1.3.3 / 0.3.85. Thanks to the LangChain maintainers for the quick turnaround, to my supervisors, my co-workers at CyStack, and to the other researchers credited on the same advisory. Special shout-out to @dewankpant and @shrutilohani for their excellent writeup: https://lnkd.in/gJUPNMUt Github advisory: https://lnkd.in/gjjDBwjM #CVE #LangChain #CyStack #AISecurity #SecurityResearch #CyberSecurity

(English below) Theo một khảo sát mới đây của tổ chức CensusWire, có tới 56% người dùng thừa nhận từng "nhìn trộm" màn hình điện thoại của người khác ở nơi công cộng. Điện thoại thông minh là nơi lưu trữ vô vàn thông tin quan trọng của mỗi cá nhân: từ tin nhắn, email, hình ảnh riêng tư cho đến tài khoản ngân hàng. Việc nhìn lén không chỉ dừng lại ở sự tò mò mà còn là hành vi xâm phạm quyền riêng tư nghiêm trọng – một nội dung đã được quy định rõ trong luật bảo vệ dữ liệu cá nhân. Cùng lắng nghe những chia sẻ của ông Nguyễn Hữu Trung - Giám đốc điều hành CyStack trong chương trình "HiTech" trên kênh VTV1 để hiểu rõ hơn về: 🔹 Cách chủ động bảo vệ dữ liệu bằng các giải pháp công nghệ mới. 🔹 Tầm quan trọng của việc nâng cao nhận thức và xây dựng chuẩn mực văn hóa tôn trọng quyền riêng tư trong kỷ nguyên số. 👉 Xem phóng sự đầy đủ tại: https://lnkd.in/gbjrXHQv --- According to a recent survey by CensusWire, up to 56% of users admit to "shoulder surfing" or peeking at other people's phone screens in public places. Smartphones store an immense amount of sensitive personal information: from messages and emails to private photos and bank accounts. Snooping goes beyond mere curiosity; it is a serious invasion of privacy—a right that is clearly stipulated in personal data protection laws. Tune in to hear insights from Mr. Nguyen Huu Trung - CEO of CyStack, on VTV1's "HiTech" program to better understand: 🔹 How to proactively protect your data using new technological solutions. 🔹 The importance of raising awareness and building a cultural standard of respecting privacy in the digital age. 👉 Watch the full report at: https://lnkd.in/gbjrXHQv #CyStack #Cybersecurity #VTV #HiTech #QuyenRiengTu #BaoVeThongTin #Privacy --- CyStack - Fight against cyber threats ☎️ Hotline: (+84) 247 109 9656 📧 Mail: contact@cystack.net 🌐 Website: https://www.cystack.net 🏢 Address: 317 Truong Chinh, Phuong Liet, Ha Noi

(English below) 🔓 KHUYẾN NGHỊ BẢO MẬT: Lỗ hổng SQL Injection và Improper Access Control trong Joomla REST API (CVE-2026-21630 & CVE-2026-23899) 💁 Hai lỗ hổng vừa được chuyên gia vnth4nhnt từ CyStack phát hiện có mức độ nghiêm trọng từ trung bình đến cao trong REST API của nền tảng quản trị nội dung web (CMS) Joomla Hai lỗ hổng được xác nhận bao gồm: 1️⃣ CVE-2026-21630 (SQL Injection): Nằm tại endpoint com_content. Bất kỳ người dùng nào có quyền gọi API đều có thể chèn mã SQL tùy ý, cho phép truy xuất toàn bộ database, trích xuất password hash của Admin và các session token đang hoạt động. Lỗ hổng này có thể dẫn tới chiếm quyền toàn bộ website (full site takeover). 2️⃣ CVE-2026-23899 (Improper Access Control): Nằm tại API com_config. Lỗi thiếu kiểm tra quyền core.admin cho phép tài khoản API cấp thấp có thể đọc và sửa đổi toàn bộ cấu hình hệ thống (global configuration), làm lộ lọt thông tin Database, SMTP và Secret key. 🚨 Người dùng được khuyến nghị nâng cấp lên phiên bản Joomla 5.4.4 hoặc 6.0.4. Đồng thời rà soát lại log truy cập và thay mới secret key, mật khẩu database và cấu hình SMTP sau khi vá lỗi. ⏭️ Xem chi tiết tại https://lnkd.in/grzQjXHA --- 🔓 SECURITY ADVISORY: SQL Injection and Improper Access Control Vulnerabilities in Joomla REST API (CVE-2026-21630 & CVE-2026-23899) 💁 Security expert vnth4nhnt from CyStack Research team have just discovered two medium-to-high severity vulnerabilities in the REST API of the Joomla content management system (CMS). The two confirmed vulnerabilities include: 1️⃣ CVE-2026-21630 (SQL Injection): Located at the com_content endpoint. Any user with API access can inject arbitrary SQL code, allowing them to retrieve the entire database and extract Admin password hashes as well as active session tokens. This vulnerability can lead to a full site takeover. 2️⃣ CVE-2026-23899 (Improper Access Control): Located in the com_config API. The lack of core.admin permission validation allows low-privilege API accounts to read and modify the entire global configuration, exposing Database credentials, SMTP details, and Secret keys. 🚨 Users are strongly recommended to upgrade to Joomla version 5.4.4 or 6.0.4. Additionally, administrators should review access logs and rotate secret keys, database passwords, and SMTP configurations after applying the patch. ⏭️ Read the full details at: https://lnkd.in/gv3gfDyt #CyStack #Cybersecurity #SecurityBulletin #SecurityVulnerability #Joomla #Advisories --- CyStack - Fight against cyber threats 📧 Mail: contact@cystack.net 🌐 Website: https://www.cystack.net

(English caption below) 🎉 CYSTACK ĐẠT DANH HIỆU "HIGH PERFORMER" VÀ ĐỨNG CÁC THỨ HẠNG CAO TRÊN G2 TRONG KỲ MÙA XUÂN 2026! Ngày hôm nay, chúng tôi vô cùng tự hào khi những nỗ lực của CyStack đã được G2 ghi nhận trong báo cáo Mùa Xuân 2026 với những thứ hạng ấn tượng 🏆 Hạng #2 toàn cầu về Kiểm thử xâm nhập (Penetration Testing)  🏆 Hạng #9 toàn cầu về Tư vấn bảo mật mạng (Cybersecurity Consulting) 🛡️💻 Thành quả này sẽ không thể đạt được nếu thiếu đi sự đồng hành của quý khách hàng và đối tác. Cảm ơn bạn đã luôn tin tưởng CyStack. Mỗi đánh giá chân thành chính là động lực to lớn để chúng tôi tiếp tục vững bước trên chặng đường bảo vệ người dùng và doanh nghiệp trên không gian mạng. 👉 Xem đánh giá về CyStack trên G2 tại: https://lnkd.in/giU6Z8WT --- 🎉 CYSTACK ACHIEVES "HIGH PERFORMER" STATUS AND SECURES TOP RANKINGS ON G2 FOR SPRING 2026! Today, we are incredibly proud to have our efforts recognized by G2 in the Spring 2026 report with impressive rankings: 🏆 Rank #2 globally in Penetration Testing 🏆 Rank #9 globally in Cybersecurity Consulting 🛡️💻 This achievement would not have been possible without the continued support of our valued clients and partners. Thank you for always trusting CyStack. Every sincere review is a tremendous motivation for us to continue our journey of protecting users and businesses in cyberspace. 👉 Learn more about CyStack on G2 at: https://lnkd.in/giU6Z8WT #CyStack #Cybersecurity #G2 #HighPerformer #Pentest #CybersecurityConsulting  --- CyStack - Fight against cyber threats 📧 Mail: contact@cystack.net 🌐 Website: https://www.cystack.net