Security Insights & CVE UpdatesActualités Sécurité & Mises à jour CVE

npm npm

npm Self-Propagating Worms in 2026: CanisterWorm, Bitwarden CLI & How TeamPCP Turns Developers into Malware Vectors

Vers Auto-Propagants npm en 2026 : CanisterWorm, Bitwarden CLI & Comment TeamPCP Transforme les Développeurs en Vecteurs de Malware

April 22, 2026: CanisterWorm backdoored Namastex npm packages while @bitwarden/cli@2026.4.0 was live on npm for 93 minutes. Both attacks by TeamPCP. How self-propagating worms steal tokens, infect dozens of packages in minutes, and how to protect your stack.

Le 22 avril 2026 : CanisterWorm backdooré les packages npm de Namastex pendant que @bitwarden/cli@2026.4.0 était en ligne 93 minutes. Les deux attaques par TeamPCP. Comment les vers auto-propagants voléent les tokens et infectent des dizaines de packages en minutes.

April 2026 Avril 2026 Read Lire

Kubernetes Kubernetes

Kubernetes Security Vulnerabilities in 2026: IngressNightmare, runc Escapes & RBAC Hardening Guide

Vulnérabilités Sécurité Kubernetes en 2026 : IngressNightmare, Évasions runc & Guide de Durcissement RBAC

CVE-2025-1974 (CVSS 9.8) gives unauthenticated RCE on 43% of cloud clusters — 6,500+ exposed. runc CVEs allow container escape on Docker & K8s nodes. RBAC misconfigs in 45% of environments. Full hardening guide with verified data.

CVE-2025-1974 (CVSS 9.8) donne un RCE non authentifié sur 43% des clusters cloud — 6 500+ exposés. Les CVE runc permettent l’évasion de containers sur Docker & K8s. Mauvaises configs RBAC dans 45% des environnements. Guide de durcissement complet.

April 2026 Avril 2026 Read Lire

Docker Docker

Docker Container Security in 2026: CVE-2026-34040, Base Image Risks & Complete Hardening Guide

Sécurité des Containers Docker en 2026 : CVE-2026-34040, Risques Base Image & Guide de Durcissement Complet

CVE-2026-34040 (CVSS 8.8) bypasses Docker AuthZ plugins with a single padded request — an incomplete fix from CVE-2024-41110 (CVSS 10.0). 87% of container images carry high/critical CVEs. Full technical breakdown and hardening checklist.

CVE-2026-34040 (CVSS 8.8) contourne les plugins AuthZ Docker via une seule requête rembourrée — correctif incomplet de CVE-2024-41110 (CVSS 10.0). 87% des images container portent des CVE élevées/critiques. Analyse technique complète et checklist de durcissement.

April 2026 Avril 2026 Read Lire

PHP PHP

PHP Composer Security Vulnerabilities in 2026: CVE-2026-40261, CVE-2026-40176 & How to Protect Your PHP Projects

Vulnérabilités Sécurité PHP Composer en 2026 : CVE-2026-40261, CVE-2026-40176 & Comment Protéger vos Projets PHP

Two command injection flaws in Composer’s Perforce driver (CVE-2026-40261 CVSS 8.8, CVE-2026-40176 CVSS 7.8) allow arbitrary code execution during composer install — no Perforce required. Patch to 2.9.6 immediately. Full analysis with verified data.

Deux injections de commandes dans le driver Perforce de Composer (CVE-2026-40261 CVSS 8.8, CVE-2026-40176 CVSS 7.8) permettent d’exécuter du code arbitraire lors d’un composer install — sans avoir Perforce. Patcher vers 2.9.6 immédiatement.

April 2026 Avril 2026 Read Lire

WordPress WordPress

WordPress Plugin Security in 2026: EssentialPlugin Backdoor, Ninja Forms RCE & The Supply Chain Crisis

Sécurité des Plugins WordPress en 2026 : Backdoor EssentialPlugin, RCE Ninja Forms & La Crise Supply Chain

EssentialPlugin backdoored 200K+ sites via Flippa — 6h44 of active attack, 22 plugins closed. Ninja Forms CVE-2026-0740 CVSS 9.8 actively exploited. Modular DS CVE-2026-23550 CVSS 10.0 exploited before patch. Full guide with verified data.

EssentialPlugin a backdooré 200K+ sites via Flippa — 6h44 d’attaque active, 22 plugins fermés. Ninja Forms CVE-2026-0740 CVSS 9.8 activement exploité. Modular DS CVE-2026-23550 CVSS 10.0 exploité avant le patch. Guide complet avec données vérifiées.

April 2026 Avril 2026 Read Lire

npm npm

npm Lockfile Poisoning in 2026: How Attackers Hijack package-lock.json & yarn.lock

Lockfile Poisoning npm en 2026 : Comment les attaquants détournent package-lock.json & yarn.lock

The Axios RAT hid in a lockfile entry for 2h54. 111 Dependabot PRs propagated it, 60% auto-merged. How lockfile poisoning works, npm ci vs npm install, lockfile-lint, and Socket.dev — with verified sources.

Le RAT Axios s’est caché dans une entrée de lockfile pendant 2h54. 111 PRs Dependabot l’ont propagé, 60% auto-mergées. Mécanisme de l’attaque, npm ci vs npm install, lockfile-lint et Socket.dev.

April 2026 Avril 2026 Read Lire

npm npm

Dependabot vs Renovate in 2026: Comparison, Supply Chain Risks & The CVE Gap No Bot Covers

Dependabot vs Renovate en 2026 : Comparaison Complète, Risques Supply Chain & L’angle mort CVE qu’aucun bot ne couvre

111 Dependabot PRs and 30 Renovate PRs helped spread the Axios malware in under 1 hour. 60% were auto-merged with zero human review. Full feature comparison, safe auto-merge config, and the CVE monitoring gap that no update bot covers.

111 PR Dependabot et 30 PR Renovate ont contribué à propager le malware Axios en moins d’1 heure. 60% ont été auto-mergées sans revue humaine. Comparaison complète des fonctionnalités, config auto-merge sûre, et l’angle mort CVE qu’aucun bot de mise à jour ne couvre.

April 2026 Avril 2026 Read Lire

Supply Chain Supply Chain

GitHub Actions Supply Chain Security in 2026: Trivy Hijacked, prt-scan & How to Protect Your Pipelines

Sécurité Supply Chain GitHub Actions en 2026 : Trivy Hijacké, prt-scan & Comment Protéger vos Pipelines

TeamPCP force-pushed 82 Trivy Action tags overnight, exposing 10,000+ CI/CD pipelines. CVE-2025-30066 hit 23,000+ repos. Only 7% of projects pin their Actions to SHA. Complete hardening guide.

TeamPCP a force-pushé 82 tags Trivy Action en une nuit, exposant plus de 10 000 pipelines CI/CD. CVE-2025-30066 a touché 23 000+ dépôts. Seulement 7% des projets pinnent leurs Actions sur un SHA. Guide complet.

April 2026 Avril 2026 Read Lire

Laravel Laravel

Laravel Security Vulnerabilities in 2026: Livewire RCE, Composer Injection & CISA KEV

Vulnérabilités Laravel en 2026 : RCE Livewire, Injection Composer & CISA KEV

CVE-2025-54068 (CVSS 9.2) gives attackers unauthenticated RCE on Livewire apps. Added to CISA KEV in March 2026. Plus Composer command injection and a CVSS 10.0 SSTI. Complete guide.

CVE-2025-54068 (CVSS 9.2) donne aux attaquants un RCE non authentifié sur les apps Livewire. Ajoutée au CISA KEV en mars 2026. Plus injection de commande Composer et une SSTI CVSS 10.0. Guide complet.

April 2026 Avril 2026 Read Lire

Guides Guides

CVSS Scoring Explained for Developers in 2026: v3.1 vs v4.0, EPSS & When to Patch

Le Score CVSS Expliqué aux Développeurs en 2026 : v3.1 vs v4.0, EPSS & Quand Patcher

Why a CVSS 9.8 might not matter and a 6.5 might be your real emergency. The developer's guide to reading vulnerability scores, CVSS v4.0 changes, EPSS exploit prediction, and a practical patch decision framework.

Pourquoi un CVSS 9.8 pourrait ne pas compter et un 6.5 pourrait être votre vraie urgence. Le guide du développeur pour lire les scores de vulnérabilité, les changements CVSS v4.0, la prédiction d'exploitation EPSS, et un framework décisionnel de patch.

April 2026 Avril 2026 Read Lire

Python Python

Setuptools & pip Security Vulnerabilities in 2026: Directory Traversal, RCE & Bundled Risks

Vulnérabilités Setuptools & pip en 2026 : Directory Traversal, RCE & risques bundlés

CVE-2025-47273 (CVSS 7.7) and CVE-2024-6345 (CVSS 8.8) in setuptools. Python 3.12 bundles both vulnerabilities. Why pip install executes arbitrary code by design, and how to protect your projects.

CVE-2025-47273 (CVSS 7.7) et CVE-2024-6345 (CVSS 8.8) dans setuptools. Python 3.12 bundle les deux vulnérabilités. Pourquoi pip install exécute du code arbitraire par conception, et comment protéger vos projets.

April 2026 Avril 2026 Read Lire

Guides Guides

SBOM Guide for Developers in 2026: EU CRA, Formats & Your Lockfile Is Already an SBOM

Guide SBOM pour Développeurs en 2026 : EU CRA, Formats & Votre Lockfile est déjà un SBOM

EU CRA reporting starts Sept 2026. Your lockfile is already most of an SBOM. Practical guide: CycloneDX vs SPDX, generation tools, CI/CD integration, and compliance checklist.

Le reporting EU CRA commence en sept. 2026. Votre lockfile est déjà presque un SBOM. Guide pratique : CycloneDX vs SPDX, outils de génération, intégration CI/CD et checklist conformité.

April 2026 Avril 2026 Read Lire