Skip to main content

Snyk Security Labs Research

Articles du moment
Sécurité open source

À la découverte des vulnérabilités de GitHub Actions

Dans cet article, nous nous penchons sur GitHub Actions, étudions différents scénarios aboutissant à des vulnérabilités en nous appuyant sur des exemples tirés du monde réel, présentons des conseils clairs pour utiliser en toute sécurité les fonctions qui génèrent souvent des erreurs et vous faisons découvrir un outil open source pensé pour analyser les fichiers de configuration et signaler les problèmes éventuels.

Lire le rapport

Choix de la rédaction

Informations sur les vulnérabilités

Leaky Vessels : des vulnérabilités de Docker et runc permettant de s’évader des conteneurs (janvier 2024)

Sécurité des applications

Vulnérabilité 0-day d’exécution de code à distance sur Gitpod via WebSocket

Affichage 1 - 12 sur 20 publications

Package-Lock-Cloud-blog-feature

GitFlops: The dangers of terraform automation platforms

Terraform automation platforms streamline infrastructure management but also introduce security vulnerabilities when speculative plans are executed. Read how attackers can exploit Terraform lifecycle automation to gain unauthorized cloud access, compromising environments far beyond a single team's control. Learn about the attack vectors, including malicious provider plugins and external data sources, and discover essential mitigation strategies to safeguard your infrastructure.

feature-snyk-platform-learn-getting-snyk-setup

Abusing Ubuntu 24.04 features for root privilege escalation

With the recent release of Ubuntu 24.04, we at Snyk Security Labs thought it would be interesting to examine the latest version of this Linux distribution to see if we could find any interesting privilege escalation vulnerabilities.

feature-snyk-platform-learn-getting-snyk-setup

Agent hijacking: The true impact of prompt injection attacks

In this article, after a brief primer on agent architectures, we will review agent systems from two perspectives.

blog-feature-open-source-security

Repo Jacking: The Great Source-code Swindle

In this post, we explore a powerful, yet widely unknown attack vector which has emerged in the last couple of years known as ‘Repo Jacking’. During our research, we discovered the enormous potential to compromise software components with tens of millions of downloads across the Terraform IaC (Infrastructure as Code) and Composer (PHP package registry) ecosystems.

wordpress-sync/blog-feature-toolkit

Breaking caches and bypassing Istio RBAC with HTTP response header injection

This post outlines what we believe to be novel attacks against HTTP application middleware based on the simple foundation of HTTP response header injection.

feature-getting-snyk-setup

À la découverte des vulnérabilités de GitHub Actions

Dans cet article, nous nous penchons sur GitHub Actions, étudions différents scénarios aboutissant à des vulnérabilités en nous appuyant sur des exemples tirés du monde réel, présentons des conseils clairs pour utiliser en toute sécurité les fonctions qui génèrent souvent des erreurs et vous faisons découvrir un outil open source pensé pour analyser les fichiers de configuration et signaler les problèmes éventuels.

feature-leaky-vessels-deep-dive

Leaky Vessels deep dive: Escaping from Docker one syscall at a time

Learn how Snyk security researchers uncovered the Leaky Vessels container breakout Docker vulnerabilities assigned CVE-2024-21626, CVE-2024-23652, CVE-2024-23651, and CVE-2024-23653.

feature-leaky-vessels-2024-21626

Vulnérabilité : évasion de conteneur avec runc, process.cwd et des descripteurs de fichiers (CVE-2024-21626)

CVE-2024-21626 : Snyk a détecté une vulnérabilité liée à l’ordre des opérations permettant une évasion du conteneur dans toutes les versions de runc jusqu’à la 1.1.11. Cet utilitaire est utilisé par Docker Engine, mais aussi d’autres technologies de conteneurisation, comme Kubernetes.

feature-leaky-vessels-2024-23651

Buildkit mount cache race: Build-time race condition container breakout (CVE-2024-23651)

Snyk has discovered a build-time race condition container breakout vulnerability in all versions of Buildkit <=v0.12.4, as used by the Docker engine.

feature-leaky-vessels-2024-23652

Buildkit build-time container teardown arbitrary delete (CVE-2024-23652)

CVE-2024-23652: Snyk has discovered a container teardown arbitrary delete vulnerability in all versions of Buildkit <=v0.12.4, as used by the Docker engine.

feature-leaky-vessels-2024-23653

Buildkit GRPC SecurityMode privilege check: Build-time container breakout (CVE-2024-23653)

Snyk has discovered a build-time container breakout vulnerability in all versions of Docker Buildkit <=v0.12.4, as used by the Docker engine (CVE-2024-23653)

feature-insights-context

SocketSleuth: Improving security testing for WebSocket applications

Today, we are proud to announce the beta version of SocketSleuth, our new Burp Suite extension for performing security testing against WebSocket-based applications. SocketSleuth was created out of our security research group to aid in our security research against applications that leverage WebSockets for communication.

12

Vous avez découvert une vulnérabilité ? Nous pouvons vous aider à la signaler.

Renseignez notre formulaire pour divulguer des vulnérabilités que vous avez détectées ou qui ne figurent pas dans la base de données de Snyk. Nous vous aiderons à la confirmer, à contacter le gestionnaire du paquet concerné et à lui attribuer un n° de CVE.

Avant d’envoyer votre signalement, consultez notre politique de divulgation à cette adresse.

Signaler une nouvelle vulnérabilité