Security Insights & CVE UpdatesActualités Sécurité & Mises à jour CVE

Guides, tutorials, and news about dependency security for web developers and agencies.

Guides, tutoriels et actualités sur la sécurité des dépendances pour développeurs et agences web.

Results for Résultats pour

npm npm

npm Scoped Packages & Private Registry Security in 2026: The @mastra Scope Takeover, Verdaccio Hardening & Token Rotation Guide

Sécurité des Packages Scopés npm et Registry Privé en 2026 : Prise de Contrôle du Scope @mastra, Durcissement Verdaccio & Rotation des Tokens

The @mastra npm scope was hijacked June 17, 2026 via a single stale contributor account — 143 packages compromised including @mastra/core (4M downloads/month). How npm scope takeovers work in 2026 (@antv, @redhat-cloud-services, @mastra), Verdaccio hardening guide with proxy: [], GitHub Packages vs Artifactory comparison, 90-day token cap enforcement & OIDC Trusted Publishing setup.

Le scope npm @mastra a été détourné le 17 juin 2026 via un seul compte contributeur obsolète — 143 packages compromis dont @mastra/core (4M téléchargements/mois). Comment fonctionnent les prises de contrôle de scope npm en 2026 (@antv, @redhat-cloud-services, @mastra), guide de durcissement Verdaccio avec proxy: [], comparaison GitHub Packages vs Artifactory, plafond 90 jours sur les tokens & configuration Publication de Confiance OIDC.

npm npm

npm Dependency Confusion Attacks in 2026: Microsoft’s 33-Package Campaign, Version Inflation & Complete Prevention Guide

Attaques Dependency Confusion npm en 2026 : Campagne 33 Packages Microsoft, Version Inflation & Guide de Prévention Complet

49% of organizations are vulnerable to dependency confusion. Microsoft caught 33 malicious npm packages profiling Windows developer environments in May 2026 — targeting Sberbank’s SberPay widget. How version inflation beats your private registry, and a complete prevention checklist: scoped packages, .npmrc scope pinning, Verdaccio no-proxy config & Dependabot private registry setup.

49% des organisations sont vulnérables à la dependency confusion. Microsoft a détecté 33 packages npm malveillants profilant des environnements Windows en mai 2026 — ciblant le widget SberPay de Sberbank. Comment l’inflation de version bat votre registry privé, et une checklist de prévention complète : packages scopés, épinglage .npmrc, config Verdaccio no-proxy & Dependabot registry privé.

npm npm

npm Lockfile Security in 2026: package-lock.json v3 Integrity, Lockfile Diff Reviews & CI/CD Defense Guide

Sécurité du Lockfile npm en 2026 : Intégrité package-lock.json v3, Revues de Diff & Guide Défense CI/CD

Attackers slip malicious code past SCA scanners by targeting the lockfile itself — not package.json. How the resolved + integrity SHA-512 fields work in v3, what lockfile injection looks like in a PR diff (TanStack/Miasma post-mortems), and a complete CI/CD defense guide: npm ci, npm audit signatures, resolved URL allowlists, lockcheck baseline diffing & CODEOWNERS enforcement.

Les attaquants glissent du code malveillant devant les scanners SCA en ciblant le lockfile lui-même — pas package.json. Comment fonctionnent les champs resolved + integrity SHA-512 en v3, à quoi ressemble l’injection de lockfile dans un diff de PR (post-mortems TanStack/Miasma), et un guide CI/CD complet : npm ci, npm audit signatures, listes d’autorisation URL resolved, diffing baseline lockcheck & enforcement CODEOWNERS.

npm npm

npm Provenance Attestations & SLSA Build Level 3 in 2026: What Mini Shai-Hulud Forged and What Would Have Stopped It

Attestations de Provenance npm & SLSA Build Level 3 en 2026 : Ce que Mini Shai-Hulud a Forgé et Ce Qui L’Aurait Arrêté

npm --provenance achieves SLSA Build Level 2, not L3. Mini Shai-Hulud (TanStack, May 11, 2026) produced cryptographically valid Sigstore attestations by hijacking the pipeline itself — OIDC token extracted from runner memory, cache poisoned, 84 malicious packages published in <6 minutes (CVE-2026-45321 CVSS 9.6). OpenSSF’s June 10 post-mortem explains the L2/L3 boundary. Complete developer guide: how to verify provenance with cosign & slsa-verifier, publish with SLSA L2, and harden your CI/CD against the exact vectors used.

npm --provenance atteint le SLSA Build Level 2, pas L3. Mini Shai-Hulud (TanStack, 11 mai 2026) a produit des attestations Sigstore cryptographiquement valides en s’emparant du pipeline lui-même — token OIDC extrait depuis la mémoire du runner, cache empoisonné, 84 packages malveillants publiés en <6 min (CVE-2026-45321 CVSS 9.6). Le post-mortem OpenSSF du 10 juin explique la frontière L2/L3. Guide développeur complet : vérifier la provenance avec cosign & slsa-verifier, publier en SLSA L2, durcir votre CI/CD contre les vecteurs exacts utilisés.

npm npm

npm Supply Chain Canary Tokens in 2026: Honey Packages, CI/CD Tripwires & Full Detection Guide

Canary Tokens Supply Chain npm en 2026 : Honey Packages, Tripwires CI/CD & Guide Complet de Détection

454K+ malicious npm packages in 2025 (Sonatype). Miasma, Phantom Gyp & TanStack attacks steal npm tokens in <6 minutes. Canary credentials in CI/CD runners alert you the moment stolen credentials are used — 267 days faster than the industry average. Full 2026 guide: Tracebit GitHub Action, hasInstallScript lockfile tripwire, Yarn Berry enableHardenedMode, OpenSSF Package Analysis & layered detection pipeline.

454K+ packages npm malveillants en 2025 (Sonatype). Les attaques Miasma, Phantom Gyp & TanStack volènt les tokens npm en <6 minutes. Les canary credentials dans les runners CI/CD vous alertent dès que les credentials volés sont utilisés — 267 jours plus vite que la moyenne industrie. Guide complet 2026 : GitHub Action Tracebit, tripwire lockfile hasInstallScript, Yarn Berry enableHardenedMode, OpenSSF Package Analysis & pipeline de détection en couches.

Python Python

FastAPI Security Vulnerabilities in 2026: CVE-2026-48710 BadHost Auth Bypass, Pydantic AI SSRF & Production Hardening Guide

Vulnérabilités Sécurité FastAPI en 2026 : CVE-2026-48710 BadHost Bypass Auth, SSRF Pydantic AI & Guide Durcissement Production

CVE-2026-48710 BadHost bypasses path-based auth in FastAPI, vLLM & LiteLLM via a single injected character in the Host header — 325M Starlette weekly downloads at risk, 4-month exposure window (Jan–May 2026). Pydantic AI SSRF chain (CVE-2026-25580 + CVE-2026-46678), ormar validation bypass (CVE-2026-27953), fastar typosquat & async dependency injection security pitfalls. Complete production hardening guide.

CVE-2026-48710 BadHost contourne l'auth basée sur les chemins dans FastAPI, vLLM & LiteLLM via un seul caractère injecté dans l'en-tête Host — 325M téléchargements Starlette/semaine à risque, fenêtre d'exposition de 4 mois (jan.–mai 2026). Chaîne SSRF Pydantic AI (CVE-2026-25580 + CVE-2026-46678), bypass validation ormar (CVE-2026-27953), typosquat fastar & pièges d'injection de dépendances async. Guide de durcissement production complet.

Guides Guides

Spring Boot 4 Security in 2026: CVE-2026-40976 Total Auth Bypass, CVE-2026-22752 OAuth2 SSRF & Spring Security 7.0 Migration Guide

Sécurité Spring Boot 4 en 2026 : CVE-2026-40976 Bypass Auth Total, CVE-2026-22752 SSRF OAuth2 & Guide Migration Spring Security 7.0

CVE-2026-40976 (CVSS 9.1) silently makes every endpoint in Spring Boot 4.0.0–4.0.5 accessible without authentication when a specific dependency condition is met. CVE-2026-22752 (CVSS 9.6) turns Dynamic Client Registration into a stored XSS & SSRF vector. Spring Boot 3.5 reaches EOL on June 30, 2026. Full Spring Security 7.0 migration guide with security-breaking changes and hardening checklist.

CVE-2026-40976 (CVSS 9.1) rend silencieusement tous les endpoints de Spring Boot 4.0.0–4.0.5 accessibles sans authentification dans une condition de dépendance spécifique. CVE-2026-22752 (CVSS 9.6) transforme le Dynamic Client Registration en vecteur XSS stocké & SSRF. Spring Boot 3.5 atteint sa fin de vie le 30 juin 2026. Guide complet de migration Spring Security 7.0 avec changements cassants et checklist de durcissement.

Databases Bases de données

PostgreSQL & Database Dependency Security in 2026: psycopg2 Supply Chain Risks, Prisma ORM Injection & SQLAlchemy Hardening Guide

Sécurité des Dépendances Base de Données en 2026 : Risques Supply Chain psycopg2, Injection ORM Prisma & Guide Durcissement SQLAlchemy

psycopg2-binary bundles OpenSSL invisibly — bypassing OS-level CVE patching and your scanner. Prisma ORM is vulnerable to operator injection (findFirst auth bypass via {“not”: “”}) and plORMbing time-based attacks by elttam. SQLAlchemy f-string queries silently bypass parameterization. 28.65M hardcoded secrets on GitHub in 2025: database credentials are the top target. Complete hardening guide for psycopg2, asyncpg, Prisma & SQLAlchemy.

psycopg2-binary bundle OpenSSL de façon invisible — contournant le patching CVE au niveau OS et votre scanner. Prisma ORM est vulnérable à l’injection d’opérateurs (bypass auth findFirst via {“not”: “”}) et aux attaques plORMbing d’elttam. Les f-strings SQLAlchemy contournent silencieusement la paramétrisation. 28,65M de secrets hardcodés sur GitHub en 2025 : les credentials de base de données sont la première cible. Guide de durcissement complet pour psycopg2, asyncpg, Prisma & SQLAlchemy.

Guides Guides

Ansible Security Vulnerabilities in 2026: CVE-2026-11332 (Galaxy RCE), CVE-2026-6266 (Account Hijacking) & Playbook Hardening Guide

Vulnérabilités Sécurité Ansible en 2026 : CVE-2026-11332 (RCE Galaxy), CVE-2026-6266 (Détournement de Compte) & Guide Durcissement Playbook

CVE-2026-11332 (CVSS 7.8, June 5 2026): a malicious Ansible Galaxy role executes arbitrary code on your machine via argument injection in requirements.yml — before any playbook runs. CVE-2026-6266 (CVSS 8.3): Ansible Automation Platform auto-links IDP identities by email without verification, enabling full admin account hijacking. Vault best practices, no_log patterns & Galaxy supply chain hardening guide.

CVE-2026-11332 (CVSS 7.8, 5 juin 2026) : un rôle Ansible Galaxy malveillant exécute du code arbitraire sur votre machine via injection d’arguments dans requirements.yml — avant toute exécution de playbook. CVE-2026-6266 (CVSS 8.3) : Ansible Automation Platform lie automatiquement les identités IDP par email sans vérification, permettant le détournement total du compte admin. Bonnes pratiques Vault, patterns no_log & guide durcissement supply chain Galaxy.

npm npm

Miasma Wave 3 in 2026: Self-Replicating Worm Hits 73 Microsoft Azure GitHub Repos — AI Coding Agents as the Attack Surface

Miasma Vague 3 en 2026 : Le Ver Auto-Réplicant Frappe 73 Dépôts GitHub Microsoft Azure — Les Agents IA comme Surface d’Attaque

June 5, 2026: Miasma’s self-replicating worm reached Microsoft — 73 Azure GitHub repositories disabled in 105 seconds. A 4.3 MB Bun payload fires automatically when developers open infected repos in Claude Code, Gemini CLI, Cursor, or VS Code. durabletask PyPI SDK versions 1.4.1–1.4.3 are malicious. Full attack chain, credential harvesting targets & remediation checklist.

5 juin 2026 : Le ver auto-réplicant Miasma a frappé Microsoft — 73 dépôts GitHub Azure désactivés en 105 secondes. Une payload Bun de 4,3 Mo se déclenche automatiquement quand les développeurs ouvrent des dépôts infectés dans Claude Code, Gemini CLI, Cursor ou VS Code. SDK PyPI durabletask versions 1.4.1–1.4.3 malveillantes. Chaîne d’attaque complète & checklist de remédiation.

npm npm

AI Developer Tools Supply Chain Attack in 2026: codexui-android, TrapDoor & Protecting Your AI Coding Stack

Attaque Supply Chain sur les Outils IA Développeurs en 2026 : codexui-android, TrapDoor & Comment Protéger Votre Stack IA

codexui-android (29K weekly downloads) silently stole OpenAI Codex OAuth refresh tokens for 30+ days — non-expiring access to victim accounts. TrapDoor planted hidden zero-width Unicode instructions in CLAUDE.md & .cursorrules across 34 packages (npm + PyPI + Crates.io) to trick AI assistants into credential exfiltration. Three campaigns, one pattern: AI developer tool files are now prime supply chain targets.

codexui-android (29K téléchargements/sem) a volé silencieusement des tokens OAuth OpenAI Codex pendant 30+ jours — accès sans expiration aux comptes victimes. TrapDoor a planté des instructions Unicode invisibles dans CLAUDE.md & .cursorrules sur 34 packages (npm + PyPI + Crates.io) pour tromper les assistants IA en exfiltration de credentials. Trois campagnes, un pattern : les fichiers d’outils IA développeurs sont désormais des cibles supply chain prioritaires.

npm npm

Phantom Gyp Wave 2 in 2026: Miasma npm Worm Hits @vapi-ai/server-sdk, ai-sdk-ollama & 57 Packages

Phantom Gyp Vague 2 en 2026 : Ver npm Miasma sur @vapi-ai/server-sdk, ai-sdk-ollama & 57 Packages

June 3, 2026 : 57 npm packages compromised in <60 minutes via binding.gyp — @vapi-ai/server-sdk (408K downloads/month) hit first, then ai-sdk-ollama (120K) & 55 more. The worm propagated through developer workstations (not CI/CD), backdoored AI coding assistants (.claude, .cursor, .gemini configs), and installs a dead-man’s switch that wipes your home directory if you revoke the stolen token. Detection & remediation guide.

3 juin 2026 : 57 packages npm compromis en <60 min via binding.gyp — @vapi-ai/server-sdk (408K téléchargements/mois) touche en premier, puis ai-sdk-ollama (120K) & 55 autres. Le ver s’est propagé via les postes développeurs (pas le CI/CD), a backdooré les assistants IA (.claude, .cursor, .gemini) et installe un interrupteur homme-mort qui efface votre home si vous révoquez le token volé. Guide de détection & remédiation.

Monitor your dependencies automatically

Surveillez vos dépendances automatiquement

Upload your lockfiles and get instant CVE alerts. No code access required.

Uploadez vos lockfiles et recevez des alertes CVE instantanées. Aucun accès au code requis.

Start your 14-day free trial Demarrer l'essai gratuit 14 jours