Tags populares:
Virtualização segurança DNS verificação formal análise de alcance IA erros do compilador conflito de macro extensão web framework de desenvolvimento Gráficos de Bitmap Todos os tags

Vulnerabilidade Crítica no Base44: Bypass de Autenticação Simplificado

2025-07-31
Vulnerabilidade Crítica no Base44: Bypass de Autenticação Simplificado

A Wiz Research descobriu uma vulnerabilidade crítica no Base44 (recentemente adquirido pela Wix), uma popular plataforma de codificação vibe. Ataques podiam contornar a autenticação e acessar aplicativos privados e dados confidenciais usando apenas um app_id publicamente disponível. A vulnerabilidade era notavelmente fácil de explorar e afetou aplicativos empresariais, incluindo chatbots internos e automações. A Wix corrigiu rapidamente a vulnerabilidade em menos de 24 horas e confirmou que não havia evidências de abuso anterior. Isso destaca a necessidade crucial de controles de segurança robustos, como autenticação e design seguro de APIs, em plataformas de desenvolvimento baseadas em IA.

Leia mais
(www.wiz.io)
Tecnologia Vulnerabilidade Base44

Segurança do GitHub Actions: Melhores Práticas Após Dois Incidentes Graves

2025-05-08
Segurança do GitHub Actions: Melhores Práticas Após Dois Incidentes Graves

Ataques recentes ao GitHub Actions, incluindo um ataque à cadeia de suprimentos e uma invasão do tj-actions, destacam riscos significativos de segurança. Este guia oferece conselhos práticos para proteger seus fluxos de trabalho do GitHub Actions. Ele abrange a terminologia essencial, melhores práticas para configurar as definições em nível de organização e proteção de ramificações em nível de repositório, gerenciamento de segredos e escrita segura de fluxos de trabalho. Vulnerabilidades importantes, como a Execução de Pipeline Envenenado (PPE), são discutidas, juntamente com recomendações para minimizar o uso de ações de terceiros, controlar permissões e usar ferramentas para análise estática e aplicação de políticas.

Leia mais
(www.wiz.io)
Desenvolvimento

IngressNightmare: Vulnerabilidades Críticas Afetam Milhares de Clusters Kubernetes

2025-03-25
IngressNightmare: Vulnerabilidades Críticas Afetam Milhares de Clusters Kubernetes

A Wiz Research descobriu uma série de vulnerabilidades de execução remota de código não autenticada (apelidada de #IngressNightmare) no Ingress NGINX Controller para Kubernetes. A exploração concede acesso não autorizado a todos os segredos em todos os namespaces, potencialmente levando à tomada de controle do cluster. Aproximadamente 43% dos ambientes de nuvem são vulneráveis, com mais de 6.500 clusters afetados, incluindo empresas da Fortune 500, expondo publicamente componentes vulneráveis. A correção imediata é crucial. As medidas de mitigação incluem a atualização para a versão mais recente do Ingress NGINX Controller ou a desativação do componente do controlador de admissão.

Leia mais
(www.wiz.io)
Desenvolvimento Execução Remota de Código

Vazamento de Dados Sensíveis em Banco de Dados Exposto da DeepSeek

2025-01-29
Vazamento de Dados Sensíveis em Banco de Dados Exposto da DeepSeek

A Wiz Research descobriu um banco de dados ClickHouse publicamente acessível pertencente à DeepSeek, uma startup chinesa de IA, expondo mais de um milhão de entradas de log contendo informações confidenciais. O banco de dados exposto, acessível sem autenticação, permitia controle total e continha histórico de bate-papo, chaves de API, detalhes de back-end e outros dados críticos. A Wiz divulgou a vulnerabilidade de forma responsável à DeepSeek, que rapidamente solucionou o problema. Este incidente destaca os riscos de segurança críticos associados à rápida adoção de tecnologias de IA e a necessidade de práticas de segurança robustas, mesmo para startups emergentes.

Leia mais
(www.wiz.io)
Tecnologia segurança de banco de dados