Tags populares:
Virtualización seguridad DNS verificación formal análisis de alcanzabilidad errores del compilador conflicto de macro extensión web framework de desarrollo Gráficos de mapa de bits inconsistencias de API Todos los tags

Vulnerabilidad crítica en Base44: Bypaseando la autenticación con facilidad

2025-07-31
Vulnerabilidad crítica en Base44: Bypaseando la autenticación con facilidad

Wiz Research descubrió una vulnerabilidad crítica en Base44 (recientemente adquirida por Wix), una popular plataforma de codificación vibe. Los atacantes podían eludir la autenticación y acceder a aplicaciones privadas y datos sensibles usando solo un app_id públicamente disponible. La vulnerabilidad era notablemente fácil de explotar y afectó a aplicaciones empresariales, incluyendo chatbots internos y automatizaciones. Wix corrigió rápidamente la vulnerabilidad en menos de 24 horas y confirmó que no había evidencia de abuso anterior. Esto destaca la necesidad crucial de controles de seguridad robustos, como la autenticación y el diseño seguro de API, en plataformas de desarrollo basadas en IA.

Leer más
(www.wiz.io)
Tecnología Vulnerabilidad Base44 Bypase de Autenticación

Seguridad de GitHub Actions: Mejores prácticas después de dos incidentes importantes

2025-05-08
Seguridad de GitHub Actions: Mejores prácticas después de dos incidentes importantes

Los recientes ataques a GitHub Actions, incluyendo un ataque a la cadena de suministro y una vulneración de tj-actions, resaltan riesgos de seguridad significativos. Esta guía ofrece consejos prácticos para proteger tus flujos de trabajo de GitHub Actions. Cubre la terminología esencial, las mejores prácticas para configurar la configuración a nivel de organización y la protección de ramas a nivel de repositorio, la gestión de secretos y la escritura segura de flujos de trabajo. Se discuten vulnerabilidades clave como la Ejecución de Pipeline Envenenada (PPE), junto con recomendaciones para minimizar el uso de acciones de terceros, controlar los permisos y utilizar herramientas para el análisis estático y la aplicación de políticas.

Leer más
(www.wiz.io)
Desarrollo

IngressNightmare: Vulnerabilidades críticas que afectan a miles de clústeres de Kubernetes

2025-03-25
IngressNightmare: Vulnerabilidades críticas que afectan a miles de clústeres de Kubernetes

Wiz Research descubrió una serie de vulnerabilidades de ejecución remota de código no autenticadas (denominadas #IngressNightmare) en Ingress NGINX Controller para Kubernetes. La explotación otorga acceso no autorizado a todos los secretos en todos los espacios de nombres, lo que podría provocar la toma de control del clúster. Aproximadamente el 43% de los entornos en la nube son vulnerables, con más de 6.500 clústeres afectados, incluidas empresas de la lista Fortune 500, que exponen públicamente componentes vulnerables. Es fundamental aplicar parches de inmediato. Las mitigaciones incluyen la actualización a la última versión de Ingress NGINX Controller o la desactivación del componente del controlador de admisión.

Leer más
(www.wiz.io)
Desarrollo Ejecución remota de código

Base de datos expuesta de DeepSeek filtra información confidencial, incluyendo historial de chat

2025-01-29
Base de datos expuesta de DeepSeek filtra información confidencial, incluyendo historial de chat

Wiz Research descubrió una base de datos ClickHouse públicamente accesible perteneciente a DeepSeek, una startup china de IA, que expone más de un millón de entradas de registro que contienen información confidencial. La base de datos expuesta, accesible sin autenticación, permitía el control total y contenía el historial de chat, claves de API, detalles del backend y otros datos críticos. Wiz divulgó responsablemente la vulnerabilidad a DeepSeek, que rápidamente remedió el problema. Este incidente destaca los riesgos de seguridad críticos asociados con la rápida adopción de tecnologías de IA y la necesidad de prácticas de seguridad sólidas, incluso para startups emergentes.

Leer más
(www.wiz.io)
Tecnología seguridad de bases de datos