// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
SQL injekcija u sadržaj duhova API (CVE-2026-26980)
Ghost verzije 3.24.0 do 6.19.0 sadrže kritičnu ranjivost SQL injekcije u sadržaju API. Ovo omogućava neautorizovanim napadačima da izvršavaju proizvoljne SQL komande, što potencijalno dovodi do eksfiltracije podataka ili neovlašćenih modifikacija.
Sva istraživanja
34 articles
Daljinsko izvršavanje koda u SPIP-u putem oznaka predloška (CVE-2016-7998)
SPIP verzije 3.1.2 i starije sadrže ranjivost u sastavljaču šablona. Autentifikovani napadači mogu da uploaduju HTML fajlove sa napravljenim oznakama INCLUDE ili INCLURE kako bi izvršili proizvoljni PHP kod na serveru.
Otkrivanje informacija o konfiguraciji ZoneMinder Apache (CVE-2016-10140)
ZoneMinder verzije 1.29 i 1.30 su pogođene pogrešnom konfiguracijom Apache HTTP servera u paketu. Ova mana omogućava udaljenim napadačima bez autentifikacije da pretražuju web root direktorij, što potencijalno vodi do otkrivanja osjetljivih informacija i zaobilaženja autentifikacije.
Next.js Pogrešna konfiguracija sigurnosnog zaglavlja u next.config.js
Next.js aplikacije koje koriste next.config.js za upravljanje zaglavljem su podložne sigurnosnim prazninama ako su obrasci podudaranja putanja neprecizni. Ovo istraživanje istražuje kako pogrešne konfiguracije zamjenskih znakova i regularnih izraza dovode do nedostatka sigurnosnih zaglavlja na osjetljivim rutama i kako ojačati konfiguraciju.
Neadekvatna konfiguracija sigurnosnog zaglavlja
Web aplikacije često ne implementiraju bitna sigurnosna zaglavlja, ostavljajući korisnike izložene skriptiranju na više lokacija (XSS), klikanju i ubrizgavanju podataka. Prateći utvrđene smjernice za web sigurnost i koristeći alate za reviziju kao što je MDN Observatory, programeri mogu značajno ojačati svoje aplikacije protiv uobičajenih napada baziranih na pretraživaču.
Ublažavanje OWASP Top 10 rizika u brzom web razvoju
Indie hakeri i mali timovi često se suočavaju s jedinstvenim sigurnosnim izazovima kada se brzo isporučuju, posebno sa kodom generiranim AI. Ovo istraživanje naglašava rizike koji se ponavljaju iz kategorija CWE Top 25 i OWASP, uključujući pokvarenu kontrolu pristupa i nesigurne konfiguracije, pružajući osnovu za automatske sigurnosne provjere.
Nesigurne konfiguracije HTTP zaglavlja u AI aplikacijama
Aplikacije koje generišu AI asistenti često nemaju bitna HTTP sigurnosna zaglavlja, ne ispunjavajući savremene sigurnosne standarde. Ovaj propust ostavlja web aplikacije ranjivim na uobičajene napade na strani klijenta. Koristeći benchmarkove kao što je Mozilla HTTP Observatory, programeri mogu identificirati nedostajuće zaštite kao što su CSP i HSTS kako bi poboljšali sigurnosni položaj svoje aplikacije.
Otkrivanje i sprečavanje ranjivosti skriptiranja na više lokacija (XSS)
Cross-Site Scripting (XSS) se javlja kada aplikacija uključuje nepouzdane podatke na web stranici bez odgovarajuće validacije ili kodiranja. Ovo omogućava napadačima da izvrše zlonamjerne skripte u pretraživaču žrtve, što dovodi do otmice sesije, neovlaštenih radnji i izlaganja osjetljivih podataka.
LiteLLM proxy SQL injekcija (CVE-2026-42208)
Kritična ranjivost SQL injekcije (CVE-2026-42208) u LiteLLM-ovoj proxy komponenti omogućava napadačima da zaobiđu autentifikaciju ili pristupe osjetljivim informacijama baze podataka iskorištavanjem procesa verifikacije ključa API.
Sigurnosni rizici Vibe kodiranja: revizija koda generiranog AI
Uspon 'vibe kodiranja'—izgradnja aplikacija prvenstveno putem brzog AI promptinga—uvodi rizike kao što su tvrdo kodirani akreditivi i nesigurni obrasci koda. Budući da modeli AI mogu predložiti kod zasnovan na podacima o obuci koji sadrže ranjivosti, njihov izlaz se mora tretirati kao nepouzdani i revidirati korištenjem automatiziranih alata za skeniranje kako bi se spriječilo izlaganje podataka.
JWT Sigurnost: Rizici neobezbeđenih tokena i propusta validacije potraživanja
JSON Web tokeni (JWT) pružaju standard za prijenos potraživanja, ali sigurnost se oslanja na rigoroznu validaciju. Neprovjera potpisa, vremena isteka ili ciljane publike omogućava napadačima da zaobiđu autentifikaciju ili reproduciraju tokene.
Osiguravanje implementacije Vercel: Najbolji primjeri zaštite i zaglavlja
Ovo istraživanje istražuje sigurnosne konfiguracije za Vercel aplikacije koje su hostovane, fokusirajući se na zaštitu pri postavljanju i prilagođena HTTP zaglavlja. Objašnjava kako ove funkcije štite okruženja za pregled i provode sigurnosne politike na strani pretraživača kako bi se spriječio neovlašteni pristup i uobičajeni web napadi.
Ubacivanje kritične OS komande u LibreNMS (CVE-2024-51092)
LibreNMS verzije do 24.9.1 sadrže kritičnu ranjivost ubrizgavanja naredbi OS (CVE-2024-51092). Ovjereni napadači mogu izvršiti proizvoljne komande na host sistemu, što potencijalno dovodi do potpunog kompromitovanja infrastrukture za nadzor.
LiteLLM SQL injekcija u proxy API Provjera ključa (CVE-2026-42208)
LiteLLM verzije 1.81.16 do 1.83.6 sadrže kritičnu ranjivost SQL injekcije u logici provjere ključa Proxy API. Ova mana omogućava napadačima bez autentifikacije da zaobiđu kontrole autentifikacije ili pristupe osnovnoj bazi podataka. Problem je riješen u verziji 1.83.7.
Firebase Sigurnosna pravila: Sprečavanje neovlaštenog izlaganja podataka
Firebase Sigurnosna pravila su primarna odbrana za aplikacije bez servera koje koriste Firestore i Cloud Storage. Kada su ova pravila previše dopuštena, kao što je omogućavanje globalnog pristupa za čitanje ili pisanje u proizvodnji, napadači mogu zaobići predviđenu logiku aplikacije kako bi ukrali ili izbrisali osjetljive podatke. Ovo istraživanje istražuje uobičajene pogrešne konfiguracije, rizike zadanih postavki u 'test modu' i kako implementirati kontrolu pristupa zasnovanu na identitetu.
CSRF zaštita: obrana od neovlaštenih promjena stanja
Falsifikovanje zahteva na više lokacija (CSRF) ostaje značajna pretnja veb aplikacijama. Ovo istraživanje istražuje kako moderni okviri kao što je Django implementiraju zaštitu i kako atributi na nivou pretraživača kao što je SameSite pružaju dubinu odbrane od neovlašćenih zahtjeva.
API Sigurnosna kontrolna lista: 12 stvari koje treba provjeriti prije nego što krenete uživo
API-ji su okosnica modernih web aplikacija, ali im često nedostaje sigurnosna strogost tradicionalnih frontendova. Ovaj istraživački članak opisuje osnovnu kontrolnu listu za osiguranje API-ja, fokusirajući se na kontrolu pristupa, ograničavanje brzine i dijeljenje resursa s više izvora (CORS) kako bi se spriječilo kršenje podataka i zloupotreba usluga.
API Curenje ključa: rizici i sanacija u modernim web aplikacijama
Čvrsto kodirane tajne u frontend kodu ili historiji spremišta omogućavaju napadačima da lažno predstavljaju usluge, pristupe privatnim podacima i snose troškove. Ovaj članak pokriva rizike od tajnog curenja i potrebne korake za čišćenje i prevenciju.
CORS Pogrešna konfiguracija: Rizici pretjerano dopuštenih politika
Dijeljenje resursa sa više izvora (CORS) je mehanizam pretraživača dizajniran da olabavi Politiku istog porijekla (SOP). Iako je neophodna za moderne web aplikacije, nepravilna implementacija—kao što je ponavljanje zaglavlja Origin podnosioca zahtjeva ili stavljanje na bijelu listu 'null' porijekla—može dozvoliti zlonamjernim stranicama da eksfiltriraju privatne korisničke podatke.
Osiguravanje MVP-a: Sprečavanje curenja podataka u AI SaaS aplikacijama
Brzo razvijene SaaS aplikacije često pate od kritičnih sigurnosnih previda. Ovo istraživanje istražuje kako procurele tajne i pokvarene kontrole pristupa, kao što je nedostatak sigurnosti na nivou reda (RLS), stvaraju ranjivosti sa velikim uticajem u modernim web stekovima.