Tags populaires:
Virtualisation sécurité DNS vérification formelle analyse d'atteignabilité erreurs du compilateur conflit de macro extension web framework de développement Graphiques bitmap incohérences d'API Tous les tags

Vulnérabilité critique sur Base44 : contournement facile de l’authentification

2025-07-31
Vulnérabilité critique sur Base44 : contournement facile de l’authentification

Wiz Research a découvert une vulnérabilité critique sur Base44 (récemment acquis par Wix), une plateforme populaire de « vibe coding ». Des attaquants pouvaient contourner l’authentification et accéder à des applications privées et à des données sensibles en utilisant uniquement un app_id publiquement disponible. La vulnérabilité était remarquablement facile à exploiter et a affecté des applications d’entreprise, notamment des chatbots internes et des automatisations. Wix a rapidement corrigé la vulnérabilité en moins de 24 heures et confirmé l’absence de preuve d’abus antérieur. Ceci souligne le besoin crucial de contrôles de sécurité robustes, tels que l’authentification et la conception sécurisée des API, sur les plateformes de développement basées sur l’IA.

Lire plus
(www.wiz.io)
Technologie Vulnérabilité Base44 Contournement Authentification

Sécurité GitHub Actions : Meilleures pratiques après deux incidents majeurs

2025-05-08
Sécurité GitHub Actions : Meilleures pratiques après deux incidents majeurs

Des attaques récentes sur GitHub Actions, notamment une attaque de la chaîne d'approvisionnement et une compromission de tj-actions, mettent en évidence des risques de sécurité importants. Ce guide propose des conseils pratiques pour sécuriser vos workflows GitHub Actions. Il couvre la terminologie essentielle, les meilleures pratiques pour configurer les paramètres au niveau de l'organisation et la protection des branches au niveau du référentiel, la gestion des secrets et la rédaction sécurisée des workflows. Des vulnérabilités clés telles que l'exécution de pipeline empoisonné (PPE) sont abordées, ainsi que des recommandations pour minimiser l'utilisation d'actions tierces, contrôler les autorisations et utiliser des outils d'analyse statique et d'application de politiques.

Lire plus
(www.wiz.io)
Développement

IngressNightmare : Vulnérabilités critiques affectant des milliers de clusters Kubernetes

2025-03-25
IngressNightmare : Vulnérabilités critiques affectant des milliers de clusters Kubernetes

Wiz Research a découvert une série de vulnérabilités d'exécution de code à distance non authentifiées (dénommées #IngressNightmare) dans Ingress NGINX Controller pour Kubernetes. L'exploitation permet un accès non autorisé à tous les secrets de tous les espaces de noms, pouvant mener à la prise de contrôle du cluster. Environ 43 % des environnements cloud sont vulnérables, avec plus de 6 500 clusters affectés, dont des entreprises du Fortune 500, exposant publiquement des composants vulnérables. Il est crucial d'appliquer des correctifs immédiatement. Les mesures d'atténuation incluent la mise à jour vers la dernière version d'Ingress NGINX Controller ou la désactivation du composant du contrôleur d'admission.

Lire plus
(www.wiz.io)
Développement Exécution de code à distance

Base de données exposée de DeepSeek divulgue des informations sensibles, y compris l'historique des discussions

2025-01-29
Base de données exposée de DeepSeek divulgue des informations sensibles, y compris l'historique des discussions

Wiz Research a découvert une base de données ClickHouse accessible publiquement appartenant à DeepSeek, une startup chinoise d'IA, exposant plus d'un million d'entrées de journaux contenant des informations sensibles. La base de données exposée, accessible sans authentification, permettait un contrôle total et contenait l'historique des discussions, les clés API, les détails du backend et d'autres données critiques. Wiz a signalé la vulnérabilité de manière responsable à DeepSeek, qui a rapidement remédié au problème. Cet incident souligne les risques de sécurité critiques associés à l'adoption rapide des technologies d'IA et la nécessité de pratiques de sécurité robustes, même pour les startups émergentes.

Lire plus
(www.wiz.io)
Technologie sécurité des bases de données