// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
Injecció SQL al contingut fantasma API (CVE-2026-26980)
Les versions de Ghost 3.24.0 a 6.19.0 contenen una vulnerabilitat crítica d'injecció SQL al contingut API. Això permet als atacants no autenticats executar ordres SQL arbitràries, que poden provocar l'exfiltració de dades o modificacions no autoritzades.
Tota la recerca
34 articles
Execució remota de codi a SPIP mitjançant etiquetes de plantilla (CVE-2016-7998)
Les versions 3.1.2 i anteriors d'SPIP contenen una vulnerabilitat al compositor de plantilles. Els atacants autenticats poden penjar fitxers HTML amb etiquetes INCLUDE o INCLURE elaborades per executar codi PHP arbitrari al servidor.
Divulgació d'informació de configuració d'Apache de ZoneMinder (CVE-2016-10140)
Les versions 1.29 i 1.30 de ZoneMinder es veuen afectades per una configuració incorrecta del servidor HTTP Apache inclòs. Aquest defecte permet als atacants remots i no autenticats navegar pel directori arrel web, la qual cosa pot provocar la divulgació d'informació sensible i la derivació de l'autenticació.
Next.js Configuració incorrecta de la capçalera de seguretat a next.config.js
Les aplicacions Next.js que utilitzen next.config.js per a la gestió de capçaleres són susceptibles a les llacunes de seguretat si els patrons de concordança de camins són imprecisos. Aquesta investigació explora com les configuracions incorrectes de comodins i d'expressions regulars provoquen la falta de capçaleres de seguretat en rutes sensibles i com endurir la configuració.
Configuració de capçalera de seguretat inadequada
Les aplicacions web sovint no implementen capçaleres de seguretat essencials, deixant els usuaris exposats a scripts entre llocs (XSS), clics i injecció de dades. Seguint les directrius de seguretat web establertes i utilitzant eines d'auditoria com l'Observatori MDN, els desenvolupadors poden endurir significativament les seves aplicacions contra atacs comuns basats en navegadors.
Mitigació de OWASP Els 10 principals riscos en el desenvolupament web ràpid
Els pirates informàtics independents i els petits equips sovint s'enfronten a reptes de seguretat únics quan s'envien ràpidament, especialment amb el codi generat per AI. Aquesta investigació posa de manifest els riscos recurrents de les categories CWE Top 25 i OWASP, inclòs el control d'accés trencat i les configuracions insegures, proporcionant una base per a controls de seguretat automatitzats.
Configuracions de capçalera HTTP insegures a les aplicacions generades per AI
Les aplicacions generades pels assistents de AI sovint no tenen capçaleres de seguretat HTTP essencials i no compleixen els estàndards de seguretat moderns. Aquesta omissió deixa les aplicacions web vulnerables als atacs comuns del costat del client. Mitjançant l'ús de punts de referència com l'Observatori HTTP de Mozilla, els desenvolupadors poden identificar les proteccions que falten com CSP i HSTS per millorar la postura de seguretat de la seva aplicació.
Detecció i prevenció de les vulnerabilitats de Cross-Site Scripting (XSS)
Cross-Site Scripting (XSS) es produeix quan una aplicació inclou dades no fiables en una pàgina web sense la validació ni la codificació adequada. Això permet als atacants executar scripts maliciosos al navegador de la víctima, provocant segrest de sessions, accions no autoritzades i exposició de dades sensibles.
Injecció SQL de proxy LiteLLM (CVE-2026-42208)
Una vulnerabilitat crítica d'injecció SQL (CVE-2026-42208) al component intermediari de LiteLLM permet als atacants evitar l'autenticació o accedir a informació confidencial de la base de dades aprofitant el procés de verificació de claus API.
Riscos de seguretat de la codificació Vibe: auditoria del codi generat per AI
L'augment de la "codificació de vibració" (creant aplicacions principalment mitjançant una ràpida indicació AI) introdueix riscos com ara credencials codificades en dur i patrons de codi insegurs. Com que els models AI poden suggerir codi basat en dades d'entrenament que contenen vulnerabilitats, la seva sortida s'ha de tractar com a no fiable i auditar-se mitjançant eines d'escaneig automatitzades per evitar l'exposició de dades.
JWT Seguretat: riscos de fitxes no assegurades i falta de validació de reclamacions
Els testimonis web JSON (JWT) proporcionen un estàndard per transferir reclamacions, però la seguretat es basa en una validació rigorosa. El fet de no verificar les signatures, els temps de caducitat o el públic previst permet als atacants evitar l'autenticació o els testimonis de reproducció.
Protecció dels desplegaments de Vercel: bones pràctiques de protecció i capçalera
Aquesta investigació explora les configuracions de seguretat per a aplicacions allotjades a Vercel, centrant-se en la protecció de desplegament i les capçaleres HTTP personalitzades. Explica com aquestes funcions protegeixen els entorns de previsualització i apliquen polítiques de seguretat del navegador per evitar l'accés no autoritzat i els atacs web habituals.
Injecció d'ordres del sistema operatiu crític a LibreNMS (CVE-2024-51092)
Les versions de LibreNMS fins a la 24.9.1 contenen una vulnerabilitat crítica d'injecció d'ordres del sistema operatiu (CVE-2024-51092). Els atacants autenticats poden executar ordres arbitràries al sistema amfitrió, la qual cosa pot provocar un compromís total de la infraestructura de monitorització.
Injecció SQL de LiteLLM al servidor intermediari API Verificació de claus (CVE-2026-42208)
Les versions de LiteLLM 1.81.16 a 1.83.6 contenen una vulnerabilitat crítica d'injecció SQL a la lògica de verificació de claus del servidor intermediari API. Aquest defecte permet als atacants no autenticats evitar els controls d'autenticació o accedir a la base de dades subjacent. El problema es resol a la versió 1.83.7.
Firebase Normes de seguretat: Prevenció de l'exposició no autoritzada de dades
Firebase Les regles de seguretat són la defensa principal per a aplicacions sense servidor que utilitzen Firestore i Cloud Storage. Quan aquestes regles són massa permissives, com ara permetre l'accés global de lectura o escriptura en producció, els atacants poden evitar la lògica de l'aplicació prevista per robar o suprimir dades sensibles. Aquesta investigació explora les configuracions incorrectes habituals, els riscos dels valors predeterminats del "mode de prova" i com implementar el control d'accés basat en la identitat.
Protecció CSRF: defensar-se contra els canvis d'estat no autoritzats
La falsificació de sol·licituds entre llocs (CSRF) continua sent una amenaça important per a les aplicacions web. Aquesta investigació explora com els marcs moderns com Django implementen protecció i com els atributs a nivell de navegador com SameSite ofereixen una defensa en profunditat contra les sol·licituds no autoritzades.
API Llista de verificació de seguretat: 12 coses que cal comprovar abans de posar-se en marxa
Les API són la columna vertebral de les aplicacions web modernes, però sovint no tenen el rigor de seguretat dels frontends tradicionals. Aquest article de recerca descriu una llista de verificació essencial per protegir les API, centrada en el control d'accés, la limitació de la velocitat i l'intercanvi de recursos entre orígens (CORS) per evitar incompliments de dades i l'abús del servei.
API Fuga de claus: riscos i correcció a les aplicacions web modernes
Els secrets codificats en el codi d'interfície o l'historial del repositori permeten als atacants suplantar la identitat dels serveis, accedir a dades privades i incórrer en costos. Aquest article cobreix els riscos de fuites secretes i els passos necessaris per a la neteja i la prevenció.
CORS Configuració incorrecta: riscos de polítiques massa permissives
L'ús compartit de recursos entre orígens (CORS) és un mecanisme de navegador dissenyat per relaxar la política del mateix origen (SOP). Tot i que és necessària per a les aplicacions web modernes, una implementació incorrecta, com ara fer ressò de la capçalera Origen del sol·licitant o afegir l'origen "nul" a la llista blanca, pot permetre que els llocs maliciosos s'exfiltrin les dades privades dels usuaris.
Assegurar l'MVP: Prevenció de fuites de dades a les aplicacions SaaS generades per AI
Les aplicacions SaaS desenvolupades ràpidament pateixen sovint descuits crítics de seguretat. Aquesta investigació explora com els secrets filtrats i els controls d'accés trencats, com ara la falta de seguretat a nivell de fila (RLS), creen vulnerabilitats d'alt impacte a les piles web modernes.