// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
የSQL መርፌ በመንፈስ ይዘት API (CVE-2026-26980)
Ghost ስሪቶች ከ3.24.0 እስከ 6.19.0 በይዘት API ውስጥ ወሳኝ የSQL መርፌ ተጋላጭነትን ይይዛሉ። ይህ ያልተረጋገጡ አጥቂዎች የዘፈቀደ የSQL ትዕዛዞችን እንዲፈጽሙ ያስችላቸዋል፣ ይህም ወደ መረጃ ማጣራት ወይም ያልተፈቀዱ ማሻሻያዎችን ሊያመራ ይችላል።
ሁሉም research
34 articles
የርቀት ኮድ ማስፈጸሚያ በSPIP በአብነት መለያዎች (CVE-2016-7998)
የSPIP ስሪቶች 3.1.2 እና ቀደም ብለው በአብነት አቀናባሪ ውስጥ ተጋላጭነትን ይይዛሉ። የተረጋገጠ አጥቂዎች በአገልጋዩ ላይ የዘፈቀደ የPHP ኮድ ለማስፈፀም በተሰሩ INCLUDE ወይም INCLURE መለያዎች የኤችቲኤምኤል ፋይሎችን መስቀል ይችላሉ።
ZoneMinder Apache ውቅር መረጃ ይፋ ማድረግ (CVE-2016-10140)
የዞን ሚንደር ስሪቶች 1.29 እና 1.30 በተጠቃለለ Apache HTTP Server የተሳሳተ ውቅረት ተጎድተዋል። ይህ እንከን የርቀት፣ ያልተረጋገጡ አጥቂዎች የድር ስርወ ማውጫውን እንዲያስሱ ያስችላቸዋል፣ ይህም ወደ ሚስጥራዊ መረጃ ይፋ ማድረግ እና የማረጋገጫ ማለፍን ሊያስከትል ይችላል።
Next.js የደህንነት ራስጌ በ next.config.js ውስጥ የተሳሳተ ውቅር
የNext.js አፕሊኬሽኖች ለርዕስ አስተዳደር next.config.jsን የሚጠቀሙ ዱካ የሚመሳሰሉ ቅጦች ትክክል ካልሆኑ ለደህንነት ክፍተቶች ተጋላጭ ናቸው። ይህ ጥናት የ Wildcard እና regex የተሳሳቱ ውቅረቶች እንዴት በስሱ መንገዶች ላይ ወደሚጠፉ የደህንነት ራስጌዎች እንደሚያመሩ እና ውቅሩን እንዴት ማጠንከር እንደሚቻል ይዳስሳል።
በቂ ያልሆነ የደህንነት ራስጌ ውቅር
የድር አፕሊኬሽኖች ብዙ ጊዜ አስፈላጊ የደህንነት ራስጌዎችን መተግበር ይሳናቸዋል፣ ይህም ተጠቃሚዎች ለድረ-ገጽ ስክሪፕት (XSS)፣ ክሊክ ጃክ እና የውሂብ መርፌ እንዲጋለጡ ያደርጋቸዋል። የተመሰረቱ የድር ደህንነት መመሪያዎችን በመከተል እና እንደ ኤምዲኤን ኦብዘርቫቶሪ ያሉ የኦዲት መሳሪያዎችን በመጠቀም ገንቢዎች አፕሊኬሽኖቻቸውን ከተለመዱ አሳሽ ላይ ከተመሰረቱ ጥቃቶች በእጅጉ ማጠንከር ይችላሉ።
OWASP በፈጣን የድር ልማት ውስጥ ከፍተኛ 10 አደጋዎችን መቀነስ።
ኢንዲ ሰርጎ ገቦች እና ትናንሽ ቡድኖች በፍጥነት በሚላኩበት ጊዜ ልዩ የደህንነት ፈተናዎች ያጋጥሟቸዋል፣ በተለይም በAI የመነጨ ኮድ። ይህ ጥናት ከCWE Top 25 እና OWASP ምድቦች የተበላሹ የመዳረሻ ቁጥጥር እና ደህንነታቸው ያልተጠበቀ ውቅሮችን ጨምሮ ተደጋጋሚ አደጋዎችን አጉልቶ ያሳያል፣ ይህም በራስ ሰር የደህንነት ፍተሻዎች መሰረት ይሰጣል።
በAI የመነጩ መተግበሪያዎች ውስጥ ደህንነቱ ያልተጠበቀ የኤችቲቲፒ አርዕስት ውቅረቶች
በAI ረዳቶች የሚመነጩ አፕሊኬሽኖች ብዙ ጊዜ አስፈላጊ የኤችቲቲፒ ደህንነት ራስጌዎች ይጎድላቸዋል፣ ዘመናዊ የደህንነት መስፈርቶችን አያሟሉም። ይህ መቅረት የድር መተግበሪያዎችን ለተለመደ ደንበኛ-ጎን ጥቃቶች ተጋላጭ ያደርገዋል። እንደ ሞዚላ ኤችቲቲፒ ኦብዘርቫቶሪ ያሉ መመዘኛዎችን በመጠቀም ገንቢዎች የመተግበሪያቸውን የደህንነት አቀማመጥ ለማሻሻል እንደ CSP እና HSTS ያሉ የጎደሉ ጥበቃዎችን መለየት ይችላሉ።
የድረ-ገጽ አቋራጭ ስክሪፕት (XSS) ተጋላጭነቶችን መፈለግ እና መከላከል
የድረ-ገጽ አቋራጭ ስክሪፕት (XSS) የሚከሰተው አፕሊኬሽኑ በድረ-ገጽ ላይ ያለ ትክክለኛ ማረጋገጫ ወይም ኮድ ያልታመነ ውሂብን ሲያካትት ነው። ይህ አጥቂዎች በተጠቂው አሳሽ ውስጥ ተንኮል አዘል ስክሪፕቶችን እንዲፈጽሙ ያስችላቸዋል፣ ይህም ወደ ክፍለ-ጊዜ ጠለፋ፣ ያልተፈቀዱ ድርጊቶች እና ሚስጥራዊ የመረጃ መጋለጥን ያስከትላል።
LiteLLM ተኪ SQL መርፌ (CVE-2026-42208)
በ LiteLLM ፕሮክሲ አካል ውስጥ ያለው ወሳኝ የSQL መርፌ ተጋላጭነት (CVE-2026-42208) አጥቂዎች የAPI ቁልፍ የማረጋገጫ ሂደትን በመጠቀም ሚስጥራዊነት ያለው የውሂብ ጎታ መረጃን እንዲያልፉ ያስችላቸዋል።
የ Vibe ኮድ ማድረግ የደህንነት ስጋቶች፡ AI የመነጨ ኮድ ኦዲት ማድረግ
የ'vibe codeing' መጨመር—አፕሊኬሽኖችን በዋነኛነት በፈጣን AI ማነሳሳት—እንደ ሃርድ ኮድ ማስረጃዎች እና ደህንነቱ ያልተጠበቀ የኮድ ቅጦችን የመሳሰሉ አደጋዎችን ያስተዋውቃል። የAI ሞዴሎች ተጋላጭነቶችን በያዙ የሥልጠና መረጃዎች ላይ ተመስርተው ኮድን ሊጠቁሙ ስለሚችሉ፣ ውጤታቸው እንደ ታማኝነት ሊቆጠር እና የውሂብ መጋለጥን ለመከላከል አውቶሜትድ የፍተሻ መሳሪያዎችን በመጠቀም ኦዲት መደረግ አለበት።
JWT ደህንነት፡ ደህንነታቸው ያልተጠበቁ ቶከኖች አደጋዎች እና የይገባኛል ጥያቄ ማረጋገጫ ይጎድላል
JSON Web Tokens (JWTs) የይገባኛል ጥያቄዎችን ለማስተላለፍ ደረጃን ይሰጣሉ፣ ነገር ግን ደህንነት በጠንካራ ማረጋገጫ ላይ የተመሰረተ ነው። ፊርማዎችን፣ የማለቂያ ጊዜዎችን ወይም የታቀዱ ታዳሚዎችን ማረጋገጥ አለመቻል አጥቂዎች ማረጋገጫን እንዲያልፉ ወይም ቶከኖችን እንዲጫወቱ ያስችላቸዋል።
የVercel ማሰማራቶችን ማረጋገጥ፡ ጥበቃ እና ራስጌ ምርጥ ልምዶች
ይህ ጥናት በVercel የሚስተናገዱ መተግበሪያዎች የደህንነት ውቅሮችን ይዳስሳል፣በማሰማራት ጥበቃ እና ብጁ HTTP ራስጌዎች ላይ ያተኩራል። እነዚህ ባህሪያት የቅድመ እይታ አካባቢዎችን እንዴት እንደሚከላከሉ እና ያልተፈቀደ መዳረሻን እና የተለመዱ የድር ጥቃቶችን ለመከላከል የአሳሽ-ጎን የደህንነት ፖሊሲዎችን እንደሚያስፈጽሙ ያብራራል።
በLibreNMS (CVE-2024-51092) ውስጥ ወሳኝ የስርዓተ ክወና ትዕዛዝ መርፌ
እስከ 24.9.1 የሚደርሱ የLibreNMS ስሪቶች ወሳኝ የስርዓተ ክወና ትዕዛዝ መርፌ ተጋላጭነት (CVE-2024-51092) ይይዛሉ። የተረጋገጡ አጥቂዎች በአስተናጋጁ ስርዓት ላይ የዘፈቀደ ትዕዛዞችን ሊፈጽሙ ይችላሉ፣ ይህም የክትትል መሠረተ ልማቱን ሙሉ በሙሉ ሊያበላሽ ይችላል።
LiteLLM SQL መርፌ በተኪ API ቁልፍ ማረጋገጫ (CVE-2026-42208)
LiteLLM ስሪቶች ከ1.81.16 እስከ 1.83.6 በፕሮክሲ API ቁልፍ ማረጋገጫ አመክንዮ ውስጥ ወሳኝ የSQL መርፌ ተጋላጭነትን ይይዛሉ። ይህ ጉድለት ያልተረጋገጡ አጥቂዎች የማረጋገጫ ቁጥጥሮችን እንዲያልፉ ወይም ከስር ያለውን የውሂብ ጎታ እንዲደርሱ ያስችላቸዋል። ችግሩ በስሪት 1.83.7 ውስጥ ተፈቷል.
Firebase የደህንነት ደንቦች፡ ያልተፈቀደ የውሂብ ተጋላጭነትን መከላከል
Firebase የደህንነት ደንቦች ፋየርስቶር እና ክላውድ ማከማቻን በመጠቀም አገልጋይ አልባ መተግበሪያዎች ቀዳሚ መከላከያ ናቸው። እነዚህ ደንቦች በጣም ፈቃዶች ሲሆኑ፣ ለምሳሌ አለምአቀፍ የንባብ ወይም የፅሁፍ መዳረሻን ወደ ምርት መፍቀድ፣ አጥቂዎች ሚስጥራዊነት ያለው ውሂብ ለመስረቅ ወይም ለመሰረዝ የታሰበውን የመተግበሪያ አመክንዮ ማለፍ ይችላሉ። ይህ ጥናት የተለመዱ የተሳሳቱ ውቅሮችን፣ የ'የሙከራ ሁነታ' ነባሪዎች ስጋቶችን እና በማንነት ላይ የተመሰረተ የመዳረሻ ቁጥጥርን እንዴት መተግበር እንደሚቻል ይዳስሳል።
የCSRF ጥበቃ፡ ካልተፈቀዱ የግዛት ለውጦች መከላከል
የጣቢያ ተሻጋሪ ጥያቄ ፎርጀሪ (CSRF) ለድር መተግበሪያዎች ጉልህ ስጋት ሆኖ ይቆያል። ይህ ጥናት እንደ Django ያሉ ዘመናዊ ማዕቀፎች ጥበቃን እንዴት እንደሚተገብሩ እና እንደ SameSite ያሉ የአሳሽ ደረጃ ባህሪያት ያልተፈቀዱ ጥያቄዎችን እንዴት በጥልቀት እንደሚከላከሉ ይዳስሳል።
API የደህንነት ማረጋገጫ ዝርዝር፡ በቀጥታ ከመቀጠልዎ በፊት መመርመር ያለባቸው 12 ነገሮች
ኤ.ፒ.አይ.ዎች የዘመናዊ ድር መተግበሪያዎች የጀርባ አጥንት ናቸው ነገር ግን ብዙውን ጊዜ የባህላዊ የፊት ገጽታዎች የደህንነት ጥብቅነት ይጎድላቸዋል። ይህ የጥናት ጽሁፍ የኤፒአይዎችን ደህንነት ለመጠበቅ፣ የመረጃ ጥሰቶችን እና የአገልግሎት አላግባብ መጠቀምን ለመከላከል በመዳረሻ ቁጥጥር፣ በተመጣጣኝ ገደብ እና ምንጭ ተሻጋሪ ምንጭ (CORS) ላይ በማተኮር አስፈላጊ የፍተሻ ዝርዝር ይዘረዝራል።
API ቁልፍ መፍሰስ፡ በዘመናዊ የድር መተግበሪያዎች ውስጥ ያሉ ስጋቶች እና እርማት
በሃርድ ኮድ የተቀመጡ ምስጢሮች በfrontend ኮድ ወይም በማከማቻ ታሪክ ውስጥ አጥቂዎች አገልግሎቶችን እንዲያስመስሉ፣ የግል ውሂብን እንዲደርሱ እና ወጪ እንዲያደርጉ ያስችላቸዋል። ይህ ጽሑፍ ሚስጥራዊ ፍሳሽን እና ለጽዳት እና ለመከላከል አስፈላጊ እርምጃዎችን አደጋዎች ይሸፍናል.
CORS የተሳሳተ ውቅረት፡ ከመጠን በላይ የሚፈቀዱ መመሪያዎች ስጋቶች
ምንጭ-አቋራጭ ሀብት መጋራት (CORS) የተመሳሳዩን መነሻ ፖሊሲ (SOP) ዘና ለማድረግ የተነደፈ አሳሽ ዘዴ ነው። ለዘመናዊ የድር መተግበሪያዎች አስፈላጊ ሆኖ ሳለ፣ እንደ የጠያቂውን መነሻ ርዕስ ማስተጋባት ወይም 'noll'' ምንጭን መመዝገብ ያሉ ተገቢ ያልሆኑ ትግበራዎች ተንኮል አዘል ጣቢያዎች የግል የተጠቃሚ ውሂብን እንዲያወጡ ያስችላቸዋል።
የኤምቪፒን ደህንነት መጠበቅ፡ በAI የፈጠሩት የSaaS መተግበሪያዎች ውስጥ የውሂብ ፍንጣቂዎችን መከላከል
በፍጥነት የተገነቡ የSaaS አፕሊኬሽኖች ብዙ ጊዜ በወሳኝ የደህንነት ቁጥጥር ይሰቃያሉ። ይህ ጥናት እንዴት የወጡ ሚስጥሮችን እና የተበላሹ የመዳረሻ መቆጣጠሪያዎችን ለምሳሌ የረድፍ ደረጃ ደህንነት (RLS) በዘመናዊ የድረ-ገጽ ቁልል ላይ ከፍተኛ ተፅዕኖ ያላቸውን ተጋላጭነቶች እንደሚፈጥሩ ይዳስሳል።