Backend et Fullstack

Backend & Fullstack Daily — 11 juin 2026

Node.js Deno PostgreSQL Docker

Lo nuevo hoy

Today's highlights

Points forts du jour

Click en cualquiera para ir al detalle

Click any item to jump to the full section

Cliquez un élément pour aller à la section complète

🔥

Top Stories

Breaking

IronWorm: un worm npm escrito en Rust que se esconde tras un rootkit eBPF

Nuevo ataque de supply chain: 36 paquetes de npm infectados con un infostealer llamado IronWorm, escrito en Rust, que se oculta tras un rootkit de kernel eBPF y habla con el operador por Tor. Se autopropaga robando credenciales de publicación —incluidos secretos del flujo de Trusted Publishing de npm— y republica versiones troyanizadas de los paquetes de la víctima. Apunta a 86 variables de entorno y 20 archivos de credenciales con tokens de OpenAI, AWS, Anthropic, npm, configs de Vault, claves SSH y wallets Exodus. Distinto de la oleada Miasma de Red Hat: este es otro grupo. Ojo: si tu CI usa Trusted Publishing, revisá los logs de publish AHORA.

04 Jun 2026
bleepingcomputer.com →
Seguridad

Node.js pre-anuncia parches de severidad HIGH para el 17 de junio

El proyecto Node.js avisó que liberará versiones de las líneas 26.x, 24.x y 22.x el miércoles 17 de junio de 2026 (o poco después) para tapar una o más fallas de seguridad. La severidad más alta en las tres líneas es HIGH. Todavía no publicaron el detalle de los CVE. Agendá la ventana de patcheo y suscribite a nodejs-sec: cuando salga, no demores la actualización.

09 Jun 2026
nodejs.org →
Beta

PostgreSQL 19 Beta 1: autovacuum paralelo, REPACK y SQL/PGQ

Ya está disponible PostgreSQL 19 Beta 1 para probar antes de la GA (estimada septiembre/octubre 2026). Lo más jugoso: autovacuum con workers paralelos (autovacuum_max_parallel_workers) y un nuevo scoring para priorizar tablas; el subsistema de I/O asíncrono de PG18 ahora escala solos los I/O workers con io_method=worker; la extensión pg_plan_advice para estabilizar decisiones del planner; SQL/PGQ (property graph queries), ON CONFLICT DO SELECT, el comando REPACK y salida JSON nativa en COPY TO. Golazo para la DX: probalo en staging, no en prod.

04 Jun 2026
postgresql.org →
🗄️

Databases & Data

Seguridad

Redis parchea un RCE autenticado (CVE-2026-23479, CVSS 8.8) y se mueve el mundo vectorial

Redis liberó parches coordinados en tres líneas —8.6.4, 8.4.4 y 8.2.7— que tapan CVE-2026-23479, un RCE autenticado por use-after-free con CVSS 8.8, más dos CVE relacionados de memory-safety. Si exponés Redis con auth a usuarios poco confiables, actualizá YA. En la misma semana cayeron varias bases vectoriales: Weaviate 1.38.0 (5 jun) con namespaces y filtros anidados, y patches de Qdrant 1.18.2 (4 jun) y Milvus 2.6.18 (5 jun). También TimescaleDB 2.27.2 para series temporales sobre Postgres.

04 Jun 2026
blog.elest.io →
☁️

Cloud & DevOps

Release

Dependabot ya soporta el ecosistema Deno (version updates)

GitHub sumó Deno a Dependabot: agregás una entrada deno en .github/dependabot.yml y en la próxima corrida empieza a abrir PRs para actualizar dependencias. Aplica solo a version updates, no a security updates todavía. Si tenés proyectos Deno fuera del radar de actualizaciones automáticas, ponete las pilas y activalo.

09 Jun 2026
github.blog →
Minor

Docker Desktop 4.77.0: export de logs y componentes refrescados

Docker Desktop 4.77.0 agrega exportar logs desde la vista de Logs, refresca componentes bundleados clave y mejora la confiabilidad general. Release menor pero útil para debugging del día a día; la 4.76.0 (1 jun) había sumado soporte de registry mirror para Docker Model Runner.

08 Jun 2026
releasebot.io →

Tendencias Destacadas

Segunda semana seguida de worms npm autopropagantes (Miasma, ahora IronWorm): el flujo de Trusted Publishing pasó de ser la solución a ser el vector. Provenance no alcanza si las credenciales de publish viven en el CI.

Junio arranca cargado de releases de datos: PostgreSQL 19 Beta 1, parches de seguridad en Redis y una tanda de bases vectoriales (Weaviate, Qdrant, Milvus). El stack de datos se mueve más rápido que los frameworks web esta semana.

🔥

Top Stories

Breaking

IronWorm: a Rust-written npm worm hiding behind an eBPF rootkit

Fresh supply-chain hit: 36 npm packages infected with an infostealer called IronWorm, written in Rust, hiding behind an eBPF kernel rootkit and talking to its operator over Tor. It self-propagates by stealing publish credentials —including secrets from npm's Trusted Publishing workflow— and republishes trojanized versions of the victim's packages. It targets 86 environment variables and 20 credential files holding OpenAI, AWS, Anthropic and npm tokens, Vault configs, SSH keys and Exodus wallets. Distinct from the Red Hat Miasma wave: this is a different actor. If your CI uses Trusted Publishing, audit your publish logs NOW.

04 Jun 2026
bleepingcomputer.com →
Security

Node.js pre-announces HIGH-severity patches for June 17

The Node.js project announced it will ship releases of the 26.x, 24.x and 22.x lines on Wednesday, June 17, 2026 (or shortly after) to fix one or more security issues. The highest severity across all three lines is HIGH. CVE details are not public yet. Pencil in the patch window and subscribe to nodejs-sec; once it drops, don't sit on the upgrade.

09 Jun 2026
nodejs.org →
Beta

PostgreSQL 19 Beta 1: parallel autovacuum, REPACK and SQL/PGQ

PostgreSQL 19 Beta 1 is out for testing ahead of GA (targeted Sept/Oct 2026). The juicy bits: parallel autovacuum workers (autovacuum_max_parallel_workers) plus a new scoring system to prioritize tables; PG18's async I/O subsystem now auto-scales I/O workers with io_method=worker; the pg_plan_advice extension to stabilize planner decisions; SQL/PGQ property graph queries, ON CONFLICT DO SELECT, the new REPACK command and native JSON output for COPY TO. Test it on staging, not prod.

04 Jun 2026
postgresql.org →
🗄️

Databases & Data

Security

Redis patches an authenticated RCE (CVE-2026-23479, CVSS 8.8) as the vector world ships

Redis shipped coordinated patches across three lines —8.6.4, 8.4.4 and 8.2.7— closing CVE-2026-23479, an authenticated use-after-free RCE rated CVSS 8.8, plus two related memory-safety CVEs. If you expose authenticated Redis to untrusted users, upgrade now. The same week shipped a batch of vector DBs: Weaviate 1.38.0 (Jun 5) with namespaces and nested filtering, plus patches for Qdrant 1.18.2 (Jun 4) and Milvus 2.6.18 (Jun 5). Also TimescaleDB 2.27.2 for time-series on Postgres.

04 Jun 2026
blog.elest.io →
☁️

Cloud & DevOps

Release

Dependabot now supports the Deno ecosystem (version updates)

GitHub added Deno support to Dependabot: drop a deno entry in .github/dependabot.yml and on the next run it starts opening dependency-bump PRs. It covers version updates only, not security updates yet. If you have Deno projects outside automated-update coverage, switch it on.

09 Jun 2026
github.blog →
Minor

Docker Desktop 4.77.0: log export and refreshed components

Docker Desktop 4.77.0 adds log export from the Logs view, refreshes key bundled components and improves overall reliability. A minor release but handy for day-to-day debugging; 4.76.0 (Jun 1) had added registry mirror support for Docker Model Runner.

08 Jun 2026
releasebot.io →

Notable Trends

Second straight week of self-propagating npm worms (Miasma, now IronWorm): Trusted Publishing went from the fix to the vector. Provenance isn't enough when publish credentials live in CI.

June opens heavy on data releases: PostgreSQL 19 Beta 1, Redis security patches and a batch of vector DBs (Weaviate, Qdrant, Milvus). The data stack is moving faster than web frameworks this week.

🔥

Top Stories

Breaking

IronWorm : un worm npm écrit en Rust caché derrière un rootkit eBPF

Nouvelle attaque supply chain : 36 paquets npm infectés par un infostealer nommé IronWorm, écrit en Rust, caché derrière un rootkit kernel eBPF et communiquant avec l'opérateur via Tor. Il se propage en volant des credentials de publication —y compris les secrets du flux Trusted Publishing de npm— et republie des versions trojanisées des paquets de la victime. Il vise 86 variables d'environnement et 20 fichiers de credentials contenant des tokens OpenAI, AWS, Anthropic, npm, des configs Vault, des clés SSH et des wallets Exodus. Distinct de la vague Miasma de Red Hat : c'est un autre acteur. Si votre CI utilise Trusted Publishing, auditez vos logs de publish MAINTENANT.

04 Jun 2026
bleepingcomputer.com →
Sécurité

Node.js pré-annonce des correctifs de sévérité HIGH pour le 17 juin

Le projet Node.js a annoncé qu'il publiera des versions des lignes 26.x, 24.x et 22.x le mercredi 17 juin 2026 (ou peu après) pour corriger une ou plusieurs failles de sécurité. La sévérité la plus élevée sur les trois lignes est HIGH. Les détails des CVE ne sont pas encore publics. Notez la fenêtre de patch et abonnez-vous à nodejs-sec.

09 Jun 2026
nodejs.org →
Bêta

PostgreSQL 19 Beta 1 : autovacuum parallèle, REPACK et SQL/PGQ

PostgreSQL 19 Beta 1 est disponible pour les tests avant la GA (visée sept/oct 2026). Le meilleur : autovacuum à workers parallèles (autovacuum_max_parallel_workers) et un nouveau scoring pour prioriser les tables ; le sous-système d'I/O async de PG18 auto-ajuste désormais les I/O workers avec io_method=worker ; l'extension pg_plan_advice pour stabiliser les décisions du planner ; SQL/PGQ, ON CONFLICT DO SELECT, la commande REPACK et la sortie JSON native pour COPY TO. À tester en staging, pas en prod.

04 Jun 2026
postgresql.org →
🗄️

Databases & Data

Sécurité

Redis corrige un RCE authentifié (CVE-2026-23479, CVSS 8.8), et le monde vectoriel avance

Redis a publié des correctifs coordonnés sur trois lignes —8.6.4, 8.4.4 et 8.2.7— corrigeant CVE-2026-23479, un RCE authentifié par use-after-free noté CVSS 8.8, plus deux CVE de memory-safety liés. Si vous exposez un Redis authentifié à des utilisateurs non fiables, mettez à jour maintenant. La même semaine : plusieurs bases vectorielles —Weaviate 1.38.0 (5 juin) avec namespaces et filtres imbriqués, et des patches Qdrant 1.18.2 (4 juin) et Milvus 2.6.18 (5 juin). Aussi TimescaleDB 2.27.2.

04 Jun 2026
blog.elest.io →
☁️

Cloud & DevOps

Release

Dependabot supporte désormais l'écosystème Deno (version updates)

GitHub a ajouté le support de Deno à Dependabot : ajoutez une entrée deno dans .github/dependabot.yml et, à la prochaine exécution, il ouvre des PRs de mise à jour de dépendances. Cela couvre uniquement les version updates, pas encore les security updates. Activez-le sur vos projets Deno.

09 Jun 2026
github.blog →
Mineur

Docker Desktop 4.77.0 : export de logs et composants rafraîchis

Docker Desktop 4.77.0 ajoute l'export de logs depuis la vue Logs, rafraîchit des composants bundlés clés et améliore la fiabilité globale. Release mineure mais pratique pour le debug quotidien ; la 4.76.0 (1 juin) avait ajouté le support du registry mirror pour Docker Model Runner.

08 Jun 2026
releasebot.io →

Tendances Notables

Deuxième semaine consécutive de worms npm auto-propagateurs (Miasma, puis IronWorm) : le Trusted Publishing est passé de solution à vecteur. La provenance ne suffit pas si les credentials de publish vivent dans le CI.

Juin démarre chargé en releases data : PostgreSQL 19 Beta 1, correctifs de sécurité Redis et une série de bases vectorielles (Weaviate, Qdrant, Milvus). Le stack data bouge plus vite que les frameworks web cette semaine.