// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
Ghost Məzmununda SQL Enjeksiyonu API (CVE-2026-26980)
3.24.0-dan 6.19.0-a qədər olan Ghost versiyalarında API Məzmununda kritik SQL inyeksiya zəifliyi var. Bu, təsdiqlənməmiş təcavüzkarlara ixtiyari SQL əmrlərini yerinə yetirməyə imkan verir ki, bu da potensial olaraq məlumatların çıxarılmasına və ya icazəsiz modifikasiyalara gətirib çıxarır.
Bütün research
34 articles
Şablon Teqləri (CVE-2016-7998) vasitəsilə SPIP-də Uzaqdan Kodun İcrası
SPIP 3.1.2 və daha əvvəlki versiyalarda şablon bəstəkarında zəiflik var. Doğrulanmış təcavüzkarlar serverdə ixtiyari PHP kodunu icra etmək üçün hazırlanmış INCLUDE və ya INCLURE teqləri ilə HTML faylları yükləyə bilərlər.
ZoneMinder Apache Konfiqurasiya Məlumatının Açıqlanması (CVE-2016-10140)
ZoneMinder 1.29 və 1.30 versiyaları paketlənmiş Apache HTTP Server konfiqurasiyasından təsirlənir. Bu qüsur uzaqdan, təsdiqlənməmiş təcavüzkarlara veb-kök qovluğuna baxmağa imkan verir ki, bu da potensial olaraq həssas məlumatların açıqlanmasına və autentifikasiyadan yan keçməsinə gətirib çıxarır.
Next.js Next.config.js-də Təhlükəsizlik Başlığının Yanlış Konfiqurasiyası
Başlıqların idarə edilməsi üçün next.config.js istifadə edən Next.js tətbiqləri yol uyğunluğu nümunələri qeyri-dəqiq olduqda təhlükəsizlik boşluqlarına həssasdır. Bu tədqiqat joker simvol və regex səhv konfiqurasiyalarının həssas marşrutlarda təhlükəsizlik başlıqlarının itməsinə necə səbəb olduğunu və konfiqurasiyanın necə sərtləşdirilməsini araşdırır.
Qeyri-adekvat Təhlükəsizlik Başlıq Konfiqurasiyası
Veb proqramları tez-tez əsas təhlükəsizlik başlıqlarını həyata keçirə bilmir, bu da istifadəçiləri saytlararası skriptlərə (XSS), klikləmə və məlumatların inyeksiyasına məruz qoyur. Müəyyən edilmiş veb təhlükəsizlik qaydalarına əməl etməklə və MDN Rəsədxanası kimi audit alətlərindən istifadə etməklə tərtibatçılar ümumi brauzer əsaslı hücumlara qarşı tətbiqlərini əhəmiyyətli dərəcədə sərtləşdirə bilərlər.
OWASP Sürətli Veb İnkişafında Ən Yaxşı 10 Risklərin Azaldılması
Indie hakerlər və kiçik komandalar, xüsusilə AI tərəfindən yaradılan kodla sürətli göndərmə zamanı tez-tez unikal təhlükəsizlik problemləri ilə üzləşirlər. Bu tədqiqat CWE Top 25 və OWASP kateqoriyalarından təkrarlanan riskləri vurğulayır, o cümlədən sınmış giriş nəzarəti və təhlükəsiz olmayan konfiqurasiyalar avtomatlaşdırılmış təhlükəsizlik yoxlamaları üçün zəmin yaradır.
AI tərəfindən yaradılan tətbiqlərdə etibarlı olmayan HTTP başlıq konfiqurasiyaları
AI köməkçiləri tərəfindən yaradılan proqramlarda tez-tez müasir təhlükəsizlik standartlarına cavab verməyən əsas HTTP təhlükəsizlik başlıqları yoxdur. Bu nöqsan veb tətbiqlərini ümumi müştəri tərəfi hücumlarına qarşı həssas edir. Mozilla HTTP Rəsədxanası kimi etalonlardan istifadə etməklə tərtibatçılar tətbiqlərinin təhlükəsizlik vəziyyətini yaxşılaşdırmaq üçün CSP və HSTS kimi çatışmayan qorumaları müəyyən edə bilərlər.
Saytlararası Skriptin (XSS) Zəifliklərinin Aşkarlanması və Qarşısının Alınması
Saytlararası Skriptləmə (XSS) proqram düzgün təsdiqlənmədən və ya kodlaşdırmadan veb-səhifəyə etibarsız məlumatları daxil etdikdə baş verir. Bu, təcavüzkarlara qurbanın brauzerində zərərli skriptlər icra etməyə imkan verir ki, bu da sessiyanın qaçırılmasına, icazəsiz hərəkətlərə və həssas məlumatların ifşasına gətirib çıxarır.
LiteLLM Proxy SQL Enjeksiyonu (CVE-2026-42208)
LiteLLM-in proksi komponentindəki kritik SQL inyeksiya zəifliyi (CVE-2026-42208) təcavüzkarlara API açarı yoxlama prosesindən istifadə etməklə autentifikasiyadan yan keçməyə və ya həssas verilənlər bazası məlumatlarına daxil olmağa imkan verir.
Vibe Kodlaşdırmasının Təhlükəsizlik Riskləri: AI tərəfindən yaradılan kodun yoxlanılması
"Vib-kodlaşdırmanın" yüksəlişi - ilk növbədə sürətli AI istək vasitəsilə proqramların yaradılması - sərt kodlaşdırılmış etimadnamələr və etibarlı olmayan kod nümunələri kimi riskləri təqdim edir. AI modelləri zəiflikləri ehtiva edən təlim məlumatlarına əsaslanan kod təklif edə bildiyinə görə, onların çıxışı etibarsız hesab edilməli və məlumatların ifşasının qarşısını almaq üçün avtomatlaşdırılmış skan alətlərindən istifadə etməklə yoxlanılmalıdır.
JWT Təhlükəsizlik: Təminatsız Tokenlərin Riskləri və İddia Doğrulamasının Çatışması
JSON Veb Tokenləri (JWTs) iddiaların ötürülməsi üçün standart təmin edir, lakin təhlükəsizlik ciddi yoxlamaya əsaslanır. İmzaların, bitmə vaxtlarının və ya nəzərdə tutulan auditoriyanın yoxlanılmaması təcavüzkarlara autentifikasiyadan keçməyə və ya tokenləri təkrarlamağa imkan verir.
Vercel Yerləşdirmələrinin Təhlükəsizliyi: Qoruma və Başlıq Ən Yaxşı Təcrübələr
Bu tədqiqat Yerləşdirmə Mühafizəsi və xüsusi HTTP başlıqlarına diqqət yetirərək, Vercel-də yerləşdirilən proqramlar üçün təhlükəsizlik konfiqurasiyalarını araşdırır. O, bu xüsusiyyətlərin önizləmə mühitlərini necə qoruduğunu və icazəsiz girişin və ümumi veb hücumlarının qarşısını almaq üçün brauzer tərəfi təhlükəsizlik siyasətlərini necə tətbiq etdiyini izah edir.
LibreNMS-də Kritik ƏS Əmrinə İnyeksiya (CVE-2024-51092)
24.9.1-ə qədər olan LibreNMS versiyalarında kritik ƏS əmr inyeksiya zəifliyi (CVE-2024-51092) var. Təsdiqlənmiş təcavüzkarlar host sistemində ixtiyari əmrləri yerinə yetirə bilər ki, bu da potensial olaraq monitorinq infrastrukturunun tam kompromisinə gətirib çıxarır.
Proxy-də LiteLLM SQL Enjeksiyonu API Açar Doğrulama (CVE-2026-42208)
1.81.16-dan 1.83.6-a qədər olan LiteLLM versiyaları Proxy API açar yoxlama məntiqində kritik SQL inyeksiya zəifliyini ehtiva edir. Bu qüsur təsdiqlənməmiş təcavüzkarlara autentifikasiya nəzarətlərini keçməyə və ya əsas verilənlər bazasına daxil olmağa imkan verir. Problem 1.83.7 versiyasında həll olunur.
Firebase Təhlükəsizlik Qaydaları: İcazəsiz Məlumatlara məruz qalmanın qarşısının alınması
Firebase Təhlükəsizlik Qaydaları Firestore və Cloud Storage istifadə edən serversiz proqramlar üçün əsas müdafiədir. İstehsalda qlobal oxumaq və ya yazmaq imkanı vermək kimi bu qaydalar həddən artıq icazəli olduqda, təcavüzkarlar həssas məlumatları oğurlamaq və ya silmək üçün nəzərdə tutulan proqram məntiqindən yan keçə bilərlər. Bu tədqiqat ümumi yanlış konfiqurasiyaları, "test rejimi" defoltlarının risklərini və şəxsiyyətə əsaslanan giriş nəzarətinin necə həyata keçiriləcəyini araşdırır.
CSRF Müdafiəsi: İcazəsiz Dövlət Dəyişikliklərinə Qarşı Müdafiə
Saytlararası Sorğu Saxtakarlığı (CSRF) veb tətbiqləri üçün əhəmiyyətli bir təhlükə olaraq qalır. Bu tədqiqat Django kimi müasir çərçivələrin mühafizəni necə həyata keçirdiyini və SameSite kimi brauzer səviyyəli atributların icazəsiz sorğulara qarşı dərindən müdafiəni necə təmin etdiyini araşdırır.
API Təhlükəsizlik Yoxlama Siyahısı: Canlı yayımdan əvvəl yoxlamaq üçün 12 şey
API-lər müasir veb proqramların əsasını təşkil edir, lakin çox vaxt ənənəvi ön uçların təhlükəsizlik sərtliyindən məhrumdur. Bu tədqiqat məqaləsi məlumatların pozulmasının və xidmətdən sui-istifadənin qarşısını almaq üçün girişə nəzarət, sürətin məhdudlaşdırılması və mənşəli resurs mübadiləsinə (CORS) diqqət yetirərək API-lərin təhlükəsizliyini təmin etmək üçün vacib yoxlama siyahısını təsvir edir.
API Əsas Sızma: Müasir Veb Tətbiqlərində Risklər və Təmir
Frontend kodu və ya repozitoriya tarixçəsindəki sərt kodlu sirlər təcavüzkarlara xidmətlərin kimliyini göstərməyə, şəxsi məlumatlara daxil olmağa və xərc çəkməyə imkan verir. Bu məqalə gizli sızma risklərini və təmizləmə və qarşısının alınması üçün lazımi addımları əhatə edir.
CORS Yanlış Konfiqurasiya: Həddindən artıq icazə verən siyasətlərin riskləri
Cross-Origin Resource Sharing (CORS) Eyni Mənşə Siyasətini (SOP) rahatlaşdırmaq üçün nəzərdə tutulmuş brauzer mexanizmidir. Müasir veb proqramlar üçün lazım olsa da, düzgün olmayan tətbiqetmə (məsələn, sorğuçunun Origin başlığını əks etdirmək və ya "null" mənşəyi ağ siyahıya salmaq kimi, zərərli saytların şəxsi istifadəçi məlumatlarını sındırmasına icazə verə bilər.
MVP-nin qorunması: AI tərəfindən yaradılan SaaS Proqramlarında məlumat sızmasının qarşısının alınması
Sürətlə inkişaf etdirilən SaaS proqramları çox vaxt kritik təhlükəsizlik nəzarətindən əziyyət çəkir. Bu tədqiqat sızmış sirlərin və sınmış giriş nəzarətlərinin, məsələn, əskik Səviyyə Səviyyəsi Təhlükəsizliyi (RLS) müasir veb yığınlarında necə yüksək təsirə malik zəifliklər yaratdığını araşdırır.