// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
Укараненне SQL у прывіднае змесціва API (CVE-2026-26980)
Прывідныя версіі з 3.24.0 па 6.19.0 утрымліваюць крытычную ўразлівасць SQL-ін'екцыі ў змесціве API. Гэта дазваляе неаўтэнтыфікаваным зламыснікам выконваць адвольныя каманды SQL, што патэнцыйна можа прывесці да крадзяжу даных або несанкцыянаваных мадыфікацый.
Усе даследаванні
34 articles
Аддаленае выкананне кода ў SPIP праз тэгі шаблона (CVE-2016-7998)
Версіі SPIP 3.1.2 і больш раннія ўтрымліваюць уразлівасць у кампазітары шаблонаў. Аўтэнтыфікаваныя зламыснікі могуць загружаць файлы HTML са створанымі тэгамі INCLUDE або INCLURE для выканання адвольнага кода PHP на серверы.
Раскрыццё інфармацыі аб канфігурацыі ZoneMinder Apache (CVE-2016-10140)
На ZoneMinder версій 1.29 і 1.30 ўплывае няправільная канфігурацыя ўключанага HTTP-сервера Apache. Гэты недахоп дазваляе аддаленым, неаўтэнтыфікаваным зламыснікам праглядаць каранёвы каталог вэб-сайтаў, што можа прывесці да раскрыцця канфідэнцыйнай інфармацыі і абыходу аўтэнтыфікацыі.
Next.js Няправільная канфігурацыя загалоўка бяспекі ў next.config.js
Праграмы Next.js, якія выкарыстоўваюць next.config.js для кіравання загалоўкамі, успрымальныя да прабелаў у бяспецы, калі шаблоны супастаўлення шляху недакладныя. Гэта даследаванне даследуе, як няправільныя канфігурацыі знакаў падстаноўкі і рэгулярных выразаў прыводзяць да адсутнасці загалоўкаў бяспекі на канфідэнцыйных маршрутах і як узмацніць канфігурацыю.
Недастатковая канфігурацыя загалоўка бяспекі
Вэб-праграмы часта не могуць рэалізаваць асноўныя загалоўкі бяспекі, у выніку чаго карыстальнікі падвяргаюцца міжсайтавым сцэнарыям (XSS), джэкінгу клікаў і ўвядзенню даных. Прытрымліваючыся ўстаноўленых рэкамендацый па бяспецы ў сетцы і выкарыстоўваючы інструменты аўдыту, такія як MDN Observatory, распрацоўшчыкі могуць значна ўмацаваць свае прыкладанні супраць распаўсюджаных нападаў на аснове браўзера.
Змякчэнне OWASP 10 галоўных рызык пры хуткай вэб-распрацоўцы
Інды-хакеры і невялікія каманды часта сутыкаюцца з унікальнымі праблемамі бяспекі пры хуткай дастаўцы, асабліва з кодам, згенераваным AI. Гэта даследаванне падкрэслівае перыядычныя рызыкі з катэгорый CWE Top 25 і OWASP, у тым ліку парушаны кантроль доступу і небяспечныя канфігурацыі, што забяспечвае аснову для аўтаматызаваных праверак бяспекі.
Небяспечныя канфігурацыі загалоўкаў HTTP ў праграмах, створаных AI
У праграмах, створаных асістэнтамі AI, часта адсутнічаюць важныя загалоўкі бяспекі HTTP, што не адпавядае сучасным стандартам бяспекі. Гэта ўпушчэнне робіць вэб-праграмы ўразлівымі для звычайных нападаў з боку кліента. Выкарыстоўваючы эталонныя тэсты, такія як Mozilla HTTP Observatory, распрацоўшчыкі могуць ідэнтыфікаваць адсутныя сродкі абароны, такія як CSP і HSTS, каб палепшыць стан бяспекі сваіх прыкладанняў.
Выяўленне і прадухіленне ўразлівасцей міжсайтавага сцэнарыя (XSS)
Міжсайтавы сцэнарый (XSS) узнікае, калі праграма змяшчае ненадзейныя даныя на вэб-старонцы без належнай праверкі або кадавання. Гэта дазваляе зламыснікам выконваць шкоднасныя скрыпты ў браўзеры ахвяры, што прыводзіць да захопу сеансу, несанкцыянаваных дзеянняў і раскрыцця канфідэнцыйных даных.
LiteLLM Proxy SQL Injection (CVE-2026-42208)
Крытычная ўразлівасць SQL-ін'екцыі (CVE-2026-42208) у проксі-кампаненце LiteLLM дазваляе зламыснікам абыходзіць аўтэнтыфікацыю або атрымліваць доступ да канфідэнцыйнай інфармацыі базы дадзеных, выкарыстоўваючы працэс праверкі ключа API.
Рызыкі бяспекі кадавання Vibe: аўдыт кода, згенераванага AI
Рост «вібрацыйнага кадавання» — стварэння прыкладанняў у асноўным праз хуткія падказкі AI — стварае такія рызыкі, як жорстка закодаваныя ўліковыя дадзеныя і небяспечныя шаблоны кода. Паколькі мадэлі AI могуць прапанаваць код, заснаваны на навучальных дадзеных, якія змяшчаюць уразлівасці, іх выхад павінен разглядацца як ненадзейны і правярацца з дапамогай аўтаматызаваных інструментаў сканавання для прадухілення раскрыцця даных.
JWT Бяспека: рызыкі неабароненых токенаў і адсутнасці праверкі патрабаванняў
Вэб-токены JSON (JWT) забяспечваюць стандарт для перадачы патрабаванняў, але бяспека залежыць ад строгай праверкі. Адсутнасць праверкі подпісаў, часу заканчэння дзеяння або меркаванай аўдыторыі дазваляе зламыснікам абыйсці аўтэнтыфікацыю або прайграць токены.
Бяспека разгортванняў Vercel: лепшыя практыкі абароны і загалоўкаў
Гэта даследаванне даследуе канфігурацыі бяспекі для прыкладанняў, размешчаных на Vercel, засяродзіўшы ўвагу на абароне разгортвання і карыстальніцкіх загалоўках HTTP. У ім тлумачыцца, як гэтыя функцыі абараняюць асяроддзя папярэдняга прагляду і забяспечваюць выкананне палітык бяспекі на баку браўзера, каб прадухіліць несанкцыянаваны доступ і звычайныя вэб-атакі.
Ін'екцыя крытычнай каманды АС у LibreNMS (CVE-2024-51092)
Версіі LibreNMS да 24.9.1 утрымліваюць крытычную ўразлівасць укаранення каманд АС (CVE-2024-51092). Аўтэнтыфікаваныя зламыснікі могуць выконваць адвольныя каманды ў хост-сістэме, што патэнцыйна можа прывесці да поўнага ўзлому інфраструктуры маніторынгу.
Ін'екцыя SQL LiteLLM у проксі API Праверка ключа (CVE-2026-42208)
Версіі LiteLLM з 1.81.16 па 1.83.6 утрымліваюць крытычную ўразлівасць SQL-ін'екцыі ў логіцы праверкі ключа Proxy API. Гэты недахоп дазваляе неаўтэнтыфікаваным зламыснікам абыходзіць кантроль аўтэнтыфікацыі або атрымліваць доступ да базавай базы дадзеных. Праблема вырашана ў версіі 1.83.7.
Firebase Правілы бяспекі: прадухіленне несанкцыянаванага раскрыцця даных
Firebase Правілы бяспекі з'яўляюцца асноўнай абаронай бессерверных праграм, якія выкарыстоўваюць Firestore і Cloud Storage. Калі гэтыя правілы занадта дазвольныя, напрыклад, дазвол на глабальны доступ для чытання або запісу ў вытворчасці, зламыснікі могуць абыйсці прызначаную логіку прыкладання, каб скрасці або выдаліць канфідэнцыяльныя даныя. Гэта даследаванне даследуе распаўсюджаныя няправільныя канфігурацыі, рызыкі па змаўчанні ў «тэставым рэжыме» і тое, як рэалізаваць кантроль доступу на аснове ідэнтыфікацыйных дадзеных.
Абарона CSRF: абарона ад несанкцыянаваных змен стану
Падробка міжсайтавых запытаў (CSRF) застаецца значнай пагрозай для вэб-прыкладанняў. Гэта даследаванне даследуе, як сучасныя структуры, такія як Django, рэалізуюць абарону і як атрыбуты на ўзроўні браўзера, такія як SameSite, забяспечваюць паглыбленую абарону ад несанкцыянаваных запытаў.
API Кантрольны спіс бяспекі: 12 рэчаў, якія трэба праверыць перад выхадам у жывы эфір
API з'яўляюцца асновай сучасных вэб-прыкладанняў, але ім часта не хапае строгасці бяспекі традыцыйных інтэрфейсаў. У гэтым даследчым артыкуле апісваецца асноўны кантрольны спіс для забеспячэння бяспекі API з упорам на кантроль доступу, абмежаванне хуткасці і сумеснае выкарыстанне рэсурсаў паміж крыніцамі (CORS), каб прадухіліць уцечку даных і злоўжыванне паслугамі.
API Уцечка ключа: рызыкі і выпраўленне ў сучасных вэб-праграмах
Жорстка зашыфраваныя сакрэты ў кодзе інтэрфейсу або гісторыі сховішчаў дазваляюць зламыснікам выдаваць сябе за сэрвісы, атрымліваць доступ да прыватных даных і несці выдаткі. У гэтым артыкуле разглядаюцца рызыкі ўцечкі сакрэту і неабходныя крокі для ачысткі і прафілактыкі.
CORS Няправільная канфігурацыя: рызыкі празмерна дазвольнай палітыкі
Сумеснае выкарыстанне рэсурсаў (CORS) - гэта механізм браўзера, прызначаны для змякчэння Палітыкі аднолькавага паходжання (SOP). Нягледзячы на тое, што гэта неабходна для сучасных вэб-праграм, няправільная рэалізацыя — напрыклад, паўтарэнне загалоўка Origin запытальніка або ўнясенне ў белы спіс «нулявога» паходжання — можа дазволіць шкоднасным сайтам выкрасці прыватныя даныя карыстальнікаў.
Забеспячэнне MVP: прадухіленне ўцечак даных у праграмах SaaS, створаных AI
Прыкладанні SaaS, якія хутка распрацоўваюцца, часта пакутуюць ад крытычных недахопаў бяспекі. Гэта даследаванне даследуе, як уцечка сакрэтаў і парушаныя элементы кантролю доступу, такія як адсутнасць бяспекі на ўзроўні радка (RLS), ствараюць моцныя ўразлівасці ў сучасных вэб-стэках.