// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
Injection SQL in Ghost Content API (CVE-2026-26980)
E versioni Ghost da 3.24.0 à 6.19.0 cuntenenu una vulnerabilità critica di iniezione SQL in u cuntenutu API. Questu permette à l'attaccanti micca autentificati di eseguisce cumandamenti SQL arbitrarii, putenzialmente purtendu à l'exfiltrazione di dati o mudificazioni micca autorizate.
Tutta a ricerca
34 articles
Esecuzione di codice remota in SPIP via Template Tags (CVE-2016-7998)
E versioni di SPIP 3.1.2 è precedenti cuntenenu una vulnerabilità in u cumpusitore di mudelli. L'attaccanti autentificati ponu cullà i fugliali HTML cù tag INCLUDE o INCLURE artighjanali per eseguisce codice PHP arbitrariu nantu à u servitore.
Divulgazione di l'infurmazione di configurazione di ZoneMinder Apache (CVE-2016-10140)
E versioni di ZoneMinder 1.29 è 1.30 sò affettati da una misconfigurazione di l'Apache HTTP Server. Stu difettu permette à l'attaccanti remoti, micca autenticati, di navigà in u repertoriu di a radica di u web, putenzialmente purtendu à a divulgazione di informazioni sensibili è a bypass di autentificazione.
Next.js Misconfigurazione di l'intestazione di sicurezza in next.config.js
L'applicazioni Next.js chì utilizanu next.config.js per a gestione di l'intestazione sò suscettibili à i lacune di sicurezza se i mudelli di currispundenza sò imprecisi. Questa ricerca esplora cumu e cunfigurazioni di wildcard è regex portanu à l'intestazione di sicurezza mancanti nantu à e rotte sensittivi è cumu indurisce a cunfigurazione.
Configurazione di l'intestazione di sicurezza inadegwata
L'applicazioni web spessu ùn riescenu à implementà intestazioni di sicurezza essenziali, lascendu l'utilizatori esposti à scripting cross-site (XSS), clickjacking è injection di dati. Seguendu e linee di sicurezza web stabilite è utilizendu strumenti di auditu cum'è l'Osservatoriu MDN, i sviluppatori ponu indurisce significativamente e so applicazioni contr'à attacchi cumuni basati in navigatori.
Mitigazione di OWASP Top 10 Risichi in u Sviluppu Web Rapidu
I pirate indie è i picculi squadre sò spessu affruntati sfide di sicurezza uniche quandu spedite rapidamente, in particulare cù u codice generatu da AI. Questa ricerca mette in risaltu i risichi recurrenti da e categurie CWE Top 25 è OWASP, cumpresu u cuntrollu di l'accessu rottu è cunfigurazioni insicure, chì furnisce una basa per i cuntrolli di sicurezza automatizati.
Configurazioni di l'intestazione HTTP insicuri in l'applicazioni generate da AI
L'applicazioni generate da l'assistenti AI spessu mancanu di l'intestazione di sicurezza HTTP essenziale, chì ùn riescenu à risponde à i standard di sicurezza muderni. Questa omissione lascia l'applicazioni web vulnerabili à attacchi cumuni di u cliente. Utilizendu benchmarks cum'è l'Osservatoriu HTTP Mozilla, i sviluppatori ponu identificà e prutezioni mancanti cum'è CSP è HSTS per migliurà a postura di sicurezza di a so applicazione.
Rilevazione è Prevenzione di Scripting Cross-Site (XSS) Vulnerabilità
Cross-Site Scripting (XSS) si trova quandu una applicazione include dati micca affidabili in una pagina web senza validazione o codificazione propria. Questu permette à l'attaccanti di eseguisce scripts maliziusi in u navigatore di a vittima, purtendu à u dirottamentu di sessione, azioni micca autorizate è esposizione di dati sensibili.
LiteLLM Proxy SQL Injection (CVE-2026-42208)
Una vulnerabilità critica di l'iniezione SQL (CVE-2026-42208) in u cumpunente proxy di LiteLLM permette à l'attaccanti di scaccià l'autentificazione o accede à l'infurmazioni sensibili di basa di dati sfruttendu u prucessu di verificazione di chjave API.
Rischi di Sicurezza di Vibe Coding: Auditing AI-Generated Code
L'ascesa di "codificazione di vibrazione" - custruendu applicazioni principarmenti per mezu di u rapidu AI - introduce risichi cum'è credenziali codificate è mudelli di codice insicuri. Perchè i mudelli AI ponu suggerisce codice basatu nantu à e dati di furmazione chì cuntenenu vulnerabili, a so output deve esse trattatu cum'è micca fiduciale è verificatu cù strumenti di scanning automatizatu per prevene l'esposizione di dati.
JWT Sicurezza: Rischi di Tokens Unsecured è Validazione di Reclamazione Mancante
JSON Web Tokens (JWTs) furnisce un standard per u trasferimentu di rivendicazioni, ma a sicurezza si basa in una validazione rigorosa. A fallimentu di verificà e firme, i tempi di scadenza, o l'audienza destinata permette à l'attaccanti di scaccià l'autenticazione o riproduce i tokens.
Assicurazione di implementazioni Vercel: Prutezzione è Prutezzione di l'Intestazione
Questa ricerca esplora e cunfigurazioni di sicurità per l'applicazioni ospitate da Vercel, cuncintrate nantu à a Proteczione di implementazione è intestazioni HTTP persunalizati. Spiega cumu queste caratteristiche prutegge l'ambienti di vista previa è impone e pulitiche di sicurezza di u navigatore per impedisce l'accessu micca autorizatu è l'attacchi web cumuni.
Critical OS Command Injection in LibreNMS (CVE-2024-51092)
E versioni LibreNMS finu à a 24.9.1 cuntenenu una vulnerabilità critica di iniezione di cumandamenti OS (CVE-2024-51092). L'attaccanti autentificati ponu eseguisce cumandamenti arbitrarii nantu à u sistema di l'ospite, putenziale purtendu à un cumprumissu tutale di l'infrastruttura di monitoraghju.
LiteLLM SQL Injection in Proxy API Verificazione di chjave (CVE-2026-42208)
E versioni LiteLLM da 1.81.16 à 1.83.6 cuntenenu una vulnerabilità critica di iniezione SQL in a logica di verificazione di chjave Proxy API. Stu difettu permette à l'attaccanti micca autentificati di scaccià i cuntrolli di autentificazione o accede à a basa di dati sottostanti. U prublema hè risolta in a versione 1.83.7.
Firebase Regoli di Sicurezza: Prevenzione di l'esposizione di dati micca autorizata
Firebase E regule di sicurezza sò a difesa primaria per l'applicazioni senza servitore chì utilizanu Firestore è Cloud Storage. Quandu queste regule sò troppu permissive, cum'è permette l'accessu di lettura o scrittura globale in a produzzione, l'attaccanti ponu sguassate a logica di l'applicazione prevista per arrubà o sguassà dati sensibili. Questa ricerca esplora misconfigurazioni cumuni, i risichi di i difetti di u "modu di prova", è cumu implementà u cuntrollu di l'accessu basatu à l'identità.
Prutezzione CSRF: Difesa contr'à i cambiamenti statali micca autorizati
Cross-Site Request Forgery (CSRF) resta una minaccia significativa per l'applicazioni web. Questa ricerca esplora cumu i quadri muderni cum'è Django implementanu a prutezzione è cumu l'attributi à u livellu di u navigatore cum'è SameSite furnisce una difesa in prufundità contr'à e dumande micca autorizate.
API Lista di cuntrollu di sicurezza: 12 cose da verificà prima di andà in diretta
L'API sò a spina di l'applicazioni web muderni, ma spessu mancanu u rigore di sicurità di i frontend tradiziunali. Questu articulu di ricerca delinea una lista di cuntrollu essenziale per a securità di l'API, cuncintratu nantu à u cuntrollu di l'accessu, a limitazione di a tarifa è a spartera di risorse incrociate (CORS) per prevene e violazioni di dati è l'abusu di serviziu.
API Key Leakage: Rischi è Remediation in Modern Web Apps
I secreti codificati in u codice di frontend o a storia di u repository permettenu à l'attaccanti di impersonà i servizii, accede à dati privati, è incurrenu i costi. Questu articulu copre i risichi di fuga secreta è i passi necessarii per a pulizia è a prevenzione.
CORS Misconfiguration: Rischi di Politiche eccessivamente permissive
Cross-Origin Resource Sharing (CORS) hè un mecanismu di navigatore pensatu per rilassà a Politica di listessa Origine (SOP). Mentre hè necessariu per l'applicazioni web muderni, l'implementazione impropria - cum'è l'ecu di l'intestazione di l'Origine di u richiedente o a lista bianca di l'origine "nulla" - ponu permette à i siti maliziusi di esfiltrate i dati di l'utilizatori privati.
Assicurazione di l'MVP: Prevenzione di fughe di dati in l'applicazioni SaaS generate da AI
L'applicazioni SaaS sviluppate rapidamente soffrenu spessu di sorveglianza di sicurezza critica. Questa ricerca scopre cumu sicreti filtrati è cuntrolli di accessu rottu, cum'è a mancanza di sicurezza di u livellu di fila (RLS), creanu vulnerabilità d'impattu elevatu in stacks web moderni.