7 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a owasp.
Prompt Injection é a vulnerabilidade número 1 da OWASP para IA. Casos reais no Brasil e no mundo mostram riscos de execução de comandos ocultos. Guia prático com 5 medidas inegociáveis para blindar sistemas de IA contra manipulação de contexto e ataques automatizados.
A OWASP publicou o relatório 'State of Agentic AI Security and Governance v2.01', detalhando riscos de segurança em agentes de IA autônomos, incluindo exploração de CVEs em ferramentas populares e riscos de cadeia de suprimentos. O documento oferece uma taxonomia para classificação de sistemas e recomendações de governança para CISOs.
Nova ferramenta CLI da OWASP permite escanear projetos em segundos para identificar dependências vulneráveis, facilitando a segurança de cadeia de suprimentos de software.
Falha de API na plataforma Lovable expõe dados de milhares de projetos de desenvolvimento com IA, incluindo credenciais e código-fonte de empresas como Nvidia e Microsoft.
O OWASP Core Rule Set (CRS) publicou correções para CVE‑2026‑21876, uma falha crítica (CVSS 9.3) na regra 922110 que permitia bypass da validação de charset em requisições multipart. Versões afetadas incluem CRS 3.3.x (até 3.3.7) e 4.0.0–4.21.0. O projeto recomenda atualização imediata para CRS 3.3.8 ou 4.22.0; as correções verificam cada parte multipart individualmente.
A atualização do Top 10 da OWASP destaca avanço de riscos ligados à supply chain e a subida de security misconfiguration para a segunda posição, enquanto injection perde espaço — sinal de maturação nas defesas contra falhas clássicas de código. O resumo disponível não traz métricas detalhadas nem CVEs.
A revisão preliminar do OWASP Top 10 2025 traz duas novas categorias: Software Supply Chain Failures e Mishandling of Exceptional Conditions. O documento realinha foco para causas sistêmicas (cadeia de suprimentos, tratamento de exceções) e recomenda integração de verificações de supply chain e melhores práticas de erro em DevSecOps.