Beliebte Tags:
Kosmos Virtualisierung DNS-Sicherheit formale Verifikation Erreichbarkeitsanalyse KI Compilerfehler Makrokonflikt Web-Erweiterung Entwicklungsframework Alle Tags

Kritische Schwachstelle in Base44: Authentifizierung einfach umgehen

2025-07-31
Kritische Schwachstelle in Base44: Authentifizierung einfach umgehen

Wiz Research hat eine kritische Sicherheitslücke in Base44 (kürzlich von Wix übernommen) entdeckt, einer beliebten Vibe-Coding-Plattform. Angreifer konnten die Authentifizierung umgehen und auf private Anwendungen und sensible Daten zugreifen, indem sie lediglich eine öffentlich verfügbare app_id verwendeten. Die Schwachstelle war bemerkenswert einfach auszunutzen und betraf Unternehmensanwendungen, darunter interne Chatbots und Automatisierungen. Wix hat die Schwachstelle innerhalb von 24 Stunden behoben und bestätigt, dass keine Hinweise auf früheren Missbrauch vorliegen. Dies unterstreicht die entscheidende Notwendigkeit robuster Sicherheitskontrollen wie Authentifizierung und sicheres API-Design auf KI-basierten Entwicklungsplattformen.

Mehr lesen
(www.wiz.io)
Technologie Base44-Schwachstelle

GitHub Actions Sicherheit: Best Practices nach zwei schwerwiegenden Vorfällen

2025-05-08
GitHub Actions Sicherheit: Best Practices nach zwei schwerwiegenden Vorfällen

Kürzlich erfolgte Angriffe auf GitHub Actions, darunter ein Angriff auf die Lieferkette und ein Kompromittierung von tj-actions, heben erhebliche Sicherheitsrisiken hervor. Dieser Leitfaden bietet praktische Ratschläge zum Sichern Ihrer GitHub Actions-Workflows. Er umfasst wichtige Begriffe, Best Practices für die Konfiguration von Organisationseinstellungen und Repositoryschutz auf Repository-Ebene, Geheimnissverwaltung und sicheres Schreiben von Workflows. Wichtige Schwachstellen wie Poisoned Pipeline Execution (PPE) werden behandelt, zusammen mit Empfehlungen zur Minimierung der Verwendung von Drittanbieter-Actions, zur Steuerung von Berechtigungen und zur Verwendung von Tools für statische Analyse und Richtlinienumsetzung.

Mehr lesen
(www.wiz.io)
Entwicklung

IngressNightmare: Kritische Schwachstellen betreffen Tausende Kubernetes-Cluster

2025-03-25
IngressNightmare: Kritische Schwachstellen betreffen Tausende Kubernetes-Cluster

Wiz Research hat eine Reihe von nicht authentifizierten Remote Code Execution-Schwachstellen (als #IngressNightmare bezeichnet) im Ingress NGINX Controller für Kubernetes entdeckt. Die Ausnutzung ermöglicht nicht autorisierten Zugriff auf alle Geheimnisse in allen Namespaces und kann zur Übernahme des Clusters führen. Ungefähr 43 % der Cloud-Umgebungen sind anfällig, wobei über 6500 betroffene Cluster, darunter Fortune-500-Unternehmen, öffentlich zugängliche, anfällige Komponenten aufweisen. Eine sofortige Behebung ist unerlässlich. Mitigationsmaßnahmen umfassen die Aktualisierung auf die neueste Version des Ingress NGINX Controllers oder die Deaktivierung der Admission-Controller-Komponente.

Mehr lesen
(www.wiz.io)
Entwicklung

Offene DeepSeek-Datenbank lässt sensible Informationen, einschließlich Chatverläufe, durchsickern

2025-01-29
Offene DeepSeek-Datenbank lässt sensible Informationen, einschließlich Chatverläufe, durchsickern

Wiz Research hat eine öffentlich zugängliche ClickHouse-Datenbank von DeepSeek, einem chinesischen KI-Startup, entdeckt, die über eine Million Log-Einträge mit sensiblen Informationen enthüllt. Die exponierte Datenbank, ohne Authentifizierung zugänglich, ermöglichte die vollständige Kontrolle und enthielt Chatverläufe, API-Schlüssel, Backend-Details und andere kritische Daten. Wiz meldete die Schwachstelle verantwortungsvoll an DeepSeek, das das Problem schnell behob. Dieser Vorfall unterstreicht die kritischen Sicherheitsrisiken, die mit der schnellen Einführung von KI-Technologien verbunden sind, und die Notwendigkeit robuster Sicherheitspraktiken, selbst für aufstrebende Startups.

Mehr lesen
(www.wiz.io)
Technologie Datenbanksicherheit