Wiz Researchは、人気のvibeコーディングプラットフォームであるBase44(最近Wixに買収された)に重大な脆弱性を発見しました。攻撃者は公開されているapp_idのみを使用して認証をバイパスし、プライベートアプリケーションと機密データにアクセスすることができました。この脆弱性は非常に簡単に悪用でき、社内チャットボットや自動化ツールなどのエンタープライズアプリケーションに影響を与えました。Wixは24時間以内に脆弱性を修正し、過去の悪用を示唆する証拠がないことを確認しました。これは、AI駆動開発プラットフォームにおける強力なセキュリティコントロール(認証や安全なAPI設計など)の必要性を強調しています。
続きを読む
サプライチェーン攻撃や tj-actions の侵害など、最近の GitHub Actions への攻撃は、重大なセキュリティリスクを浮き彫りにしています。このガイドは、GitHub Actions ワークフローを安全に保つための実践的なアドバイスを提供します。組織レベルの設定とリポジトリレベルのブランチ保護、シークレット管理、安全なワークフローの作成に関するベストプラクティスを網羅しています。ポイズンドパイプライン実行 (PPE) などの重要な脆弱性についても説明し、サードパーティアクションの使用を最小限に抑え、権限を制御し、静的分析とポリシー適用のためのツールを使用するための推奨事項を示します。
続きを読む
Wiz Researchは、Ingress NGINX Controller for Kubernetesにおいて、認証不要の遠隔コード実行の脆弱性(#IngressNightmareと命名)を発見しました。この脆弱性を悪用すると、すべての名前空間にあるすべてのシークレットへの不正アクセスが可能になり、クラスタの乗っ取りにつながる可能性があります。およそ43%のクラウド環境が脆弱であり、フォーチュン500企業を含む6500以上のクラスタが脆弱なコンポーネントを公に公開しています。直ちにパッチを適用することが重要です。軽減策としては、Ingress NGINX Controllerの最新バージョンにアップデートするか、承認コントローラーコンポーネントを無効にすることが挙げられます。
続きを読む
セキュリティ調査会社Wiz Researchは、中国のAIスタートアップ企業DeepSeekに属する、公開アクセス可能なClickHouseデータベースを発見しました。このデータベースには、機密情報を含む100万件以上のログエントリが含まれており、認証なしで完全な制御が可能でした。漏洩した情報には、チャット履歴、APIキー、バックエンドの詳細などが含まれていました。WizはDeepSeekに責任を持ってこの脆弱性を報告し、DeepSeekは迅速に問題を解決しました。この事件は、AI技術の急速な普及に伴う重大なセキュリティリスクと、新興企業であっても堅牢なセキュリティ対策の必要性を浮き彫りにしています。
続きを読む