Nhà nghiên cứu an ninh Doyeon Park đã công bố một lỗ hổng zero-day CVSS 7.1 trong CometBFT của Cosmos, có thể gây treo các nút trong quá trình đồng bộ; sự phản kháng từ phía nhà cung cấp, việc hạ mức và việc công bố đã dẫn tới tiết lộ vào ngày 21 tháng 4; các trình xác thực (validator) nên tránh khởi động lại trước khi có bản vá. Tóm tắt: Nhà nghiên cứu an ninh Doyeon Park đã công bố một lỗ hổng zero-day nghiêm trọng CVSS 7.1 trong lớp đồng thuận CometBFT của Cosmos, có thể khiến các nút bị treo trong quá trình đồng bộ hóa khối, tiềm ẩn ảnh hưởng đến các mạng bảo vệ hơn $8 tỷ USD tài sản. Lỗ hổng này không thể trực tiếp đánh cắp tiền. Park đã theo đuổi việc công bố phối hợp bắt đầu từ ngày 22 tháng 2, nhưng gặp phải sự phản kháng của nhà cung cấp đối với việc công bố công khai và các vấn đề với HackerOne. Nhà cung cấp đã hạ mức một lỗ hổng liên quan (CVE-2025-24371) xuống mức chỉ mang tính thông tin vào ngày 6 tháng 3, khiến Park phát hành một bản chứng minh khái niệm ở cấp mạng trước khi công bố công khai vào ngày 21 tháng 4. Khuyến cáo cho biết các trình xác thực Cosmos nên tránh khởi động lại các nút cho đến khi các bản vá được phát hành; các nút đã ở trong chế độ đồng thuận có thể tiếp tục hoạt động nhưng việc khởi động lại và đồng bộ lại có thể khiến chúng bị tấn công bởi các đối tượng ngang hàng độc hại, gây rủi ro bế tắc.

Tin tức Gate, ngày 21 tháng 4 — Công ty an ninh OX Security đã công bố một lỗ hổng (RCE) thực thi mã từ xa ở mức thiết kế trong MCP (Model Context Protocol), chuẩn mở để các tác nhân AI gọi các công cụ bên ngoài, do Anthropic dẫn dắt. Kẻ tấn công có thể thực thi các lệnh tùy ý trên bất kỳ

Cơ quan nghiên cứu an ninh Ctrl-Alt-Intel tiết lộ rằng các hacker nghi ngờ đến từ Triều Tiên đã tấn công các nền tảng staking và sàn giao dịch tiền điện tử, lợi dụng lỗ hổng React2Shell và chứng chỉ AWS để xâm nhập, trộm cắp khóa và mã nguồn, hoạt động phù hợp với đặc điểm tấn công của Triều Tiên, nhưng độ tin cậy của việc quy trách nhiệm là trung bình.

Nghiên cứu viên Cyata tiết lộ rằng mcp-server-git của Anthropic tồn tại ba lỗ hổng bảo mật nghiêm trọng, có thể bị lợi dụng để thực hiện vượt qua đường dẫn và tiêm tham số, thậm chí thực thi mã từ xa. Các lỗ hổng đã được khắc phục trong các phiên bản tháng 9 và tháng 12 năm 2025, người dùng nên cập nhật càng sớm càng tốt.

Trong mcp-server-git của Anthropic phát hiện ba lỗ hổng bảo mật, cho phép kẻ tấn công thực hiện tấn công thông qua tiêm nhúng từ khóa gợi ý. Các lỗ hổng bao gồm git_init không giới hạn, bỏ qua xác thực đường dẫn và tiêm tham số, có thể dẫn đến thực thi mã tùy ý và xóa tệp. Anthropic đã cung cấp bản vá sửa lỗi, khuyến nghị người dùng cập nhật lên phiên bản mới nhất.

Nhóm nghiên cứu của Slow Fog phát hiện ra lỗ hổng tăng quyền và thực thi lệnh trong Claude Code của Anthropic, CVE-2025-64755, kẻ tấn công có thể thực thi lệnh mà không được phép, PoC liên quan đã được công khai, và hacker đã lợi dụng lỗ hổng này để tấn công người dùng mã hóa.

Gần đây, một lỗ hổng bảo mật nguy hiểm cao được tiết lộ trong các thành phần server của React đang gây cảnh báo cao trong ngành. Lỗ hổng này được mã hóa là CVE-2025-55182, còn được gọi là React2Shell, đã bị nhiều tổ chức đe dọa khai thác thực tế, ảnh hưởng tới hàng nghìn trang web bao gồm cả các nền tảng tiền điện tử, gây nguy cơ trực tiếp đến an toàn tài sản của người dùng. Lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa trên các máy chủ bị ảnh hưởng mà không cần xác thực. Chính thức, React đã công bố về vấn đề này vào ngày 3 tháng 12 và xếp mức độ nghiêm trọng là cao nhất. Sau đó, nhóm tình báo đe dọa của Google (GTIG) xác nhận rằng lỗ hổng đã được trang bị nhanh chóng trong môi trường thực tế, bao gồm cả hacker nhằm mục đích lợi nhuận và có khả năng có các hoạt động tấn công do nhà nước hỗ trợ, nhắm vào các ứng dụng React và Next.js triển khai trên đám mây chưa được vá.

Gần đây, một loại tấn công phía trước nhằm vào người dùng tiền điện tử đang lan rộng nhanh chóng. Theo tổ chức phi lợi nhuận về an ninh mạng, Liên minh An ninh (SEAL), hacker đang lợi dụng lỗ hổng mới phát hiện trong thư viện JavaScript React mã nguồn mở để chèn phần mềm trộm tiền điện tử vào các trang web hợp pháp, dẫn đến sự gia tăng đáng kể các trường hợp tấn công liên quan. React là một trong những framework front-end phổ biến nhất hiện nay, được sử dụng rộng rãi để xây dựng các loại trang web và ứng dụng Web. Vào ngày 3 tháng 12, chính thức từ React tiết lộ rằng, một lỗ hổng bảo mật nghiêm trọng đã được phát hiện bởi hacker white-hat Lachlan Davidson, với mã số CVE-2025-55182. Lỗ hổng này cho phép thực thi mã từ xa mà không cần xác thực, qua đó kẻ tấn công có thể chèn và chạy mã độc trên frontend của trang web.

Tin nhắn bot tin tức Gate, Apple đã phát hành một bản vá bảo mật khẩn cấp khắc phục một lỗ hổng zero-day nghiêm trọng (CVE-2025-43300) được phát hiện trong framework ImageIO. Lỗ hổng này đã bị khai thác một cách tích cực trong môi trường thực tế thông qua các hình ảnh độc hại. Gã khổng lồ công nghệ đã phát hành các bản cập nhật iOS 18.6.2, iPadOS,

Apple đã phát hành bản cập nhật bảo mật vào ngày 20 tháng 8 năm 2025, sửa chữa lỗ hổng ghi vượt quá CVE-2025-43300 ảnh hưởng đến iOS, iPadOS và macOS. Lỗ hổng này có thể bị khai thác thông qua các tệp hình ảnh độc hại, dẫn đến hỏng bộ nhớ và thực thi mã từ xa. Người dùng được khuyên nên cập nhật thiết bị của mình càng sớm càng tốt để đảm bảo an toàn.