// investigación de vulnerabilidades
Investigación de vulnerabilidades para sitios y apps creadas con IA.
Notas basadas en fuentes sobre vulnerabilidades relevantes para apps web generadas con IA, stacks BaaS, paquetes frontend, autenticación y seguridad de dependencias.
Inyección SQL en contenido fantasma API (CVE-2026-26980)
Las versiones de Ghost 3.24.0 a 6.19.0 contienen una vulnerabilidad crítica de inyección SQL en el contenido API. Esto permite a atacantes no autenticados ejecutar comandos SQL arbitrarios, lo que podría provocar la filtración de datos o modificaciones no autorizadas.
Toda la investigación
34 artículos
Ejecución remota de código en SPIP mediante etiquetas de plantilla (CVE-2016-7998)
Las versiones 3.1.2 y anteriores de SPIP contienen una vulnerabilidad en el compositor de plantillas. Los atacantes autenticados pueden cargar archivos HTML con etiquetas INCLUDE o INCLURE diseñadas para ejecutar código PHP arbitrario en el servidor.
Divulgación de información de configuración de ZoneMinder Apache (CVE-2016-10140)
Las versiones 1.29 y 1.30 de ZoneMinder se ven afectadas por una mala configuración del servidor Apache HTTP incluido. Esta falla permite a atacantes remotos y no autenticados explorar el directorio raíz web, lo que podría provocar la divulgación de información confidencial y la omisión de autenticación.
Next.js Configuración incorrecta del encabezado de seguridad en next.config.js
Las aplicaciones Next.js que utilizan next.config.js para la gestión de encabezados son susceptibles a sufrir brechas de seguridad si los patrones de coincidencia de rutas son imprecisos. Esta investigación explora cómo las configuraciones erróneas de comodines y expresiones regulares provocan que falten encabezados de seguridad en rutas sensibles y cómo reforzar la configuración.
Configuración inadecuada del encabezado de seguridad
Las aplicaciones web a menudo no implementan encabezados de seguridad esenciales, lo que deja a los usuarios expuestos a secuencias de comandos entre sitios (XSS), clickjacking e inyección de datos. Siguiendo las pautas de seguridad web establecidas y utilizando herramientas de auditoría como el Observatorio MDN, los desarrolladores pueden reforzar significativamente sus aplicaciones contra ataques comunes basados en navegadores.
Mitigar OWASP Los 10 riesgos principales en el desarrollo web rápido
Los piratas informáticos independientes y los equipos pequeños a menudo enfrentan desafíos de seguridad únicos cuando realizan envíos rápidos, especialmente con el código generado por AI. Esta investigación destaca los riesgos recurrentes de las categorías CWE Top 25 y OWASP, incluido el control de acceso roto y las configuraciones inseguras, lo que proporciona una base para controles de seguridad automatizados.
Configuraciones de encabezado HTTP inseguras en aplicaciones generadas por AI
Las aplicaciones generadas por los asistentes AI frecuentemente carecen de encabezados de seguridad HTTP esenciales y no cumplen con los estándares de seguridad modernos. Esta omisión deja a las aplicaciones web vulnerables a ataques comunes del lado del cliente. Al utilizar puntos de referencia como el Observatorio HTTP de Mozilla, los desarrolladores pueden identificar protecciones faltantes como CSP y HSTS para mejorar la postura de seguridad de sus aplicaciones.
Detección y prevención de vulnerabilidades de secuencias de comandos entre sitios (XSS)
Cross-Site Scripting (XSS) ocurre cuando una aplicación incluye datos que no son de confianza en una página web sin la validación o codificación adecuada. Esto permite a los atacantes ejecutar scripts maliciosos en el navegador de la víctima, lo que provoca secuestro de sesiones, acciones no autorizadas y exposición de datos confidenciales.
Inyección SQL de proxy LiteLLM (CVE-2026-42208)
Una vulnerabilidad crítica de inyección SQL (CVE-2026-42208) en el componente proxy de LiteLLM permite a los atacantes eludir la autenticación o acceder a información confidencial de la base de datos explotando el proceso de verificación de clave API.
Riesgos de seguridad de la codificación Vibe: auditoría del código generado por AI
El auge de la 'codificación de vibración' (creación de aplicaciones principalmente mediante indicaciones rápidas AI) introduce riesgos como credenciales codificadas y patrones de código inseguros. Debido a que los modelos AI pueden sugerir código basado en datos de entrenamiento que contienen vulnerabilidades, su salida debe tratarse como no confiable y auditarse mediante herramientas de escaneo automatizadas para evitar la exposición de datos.
JWT Seguridad: riesgos de tokens no garantizados y validación de reclamos faltantes
Los JSON Web Tokens (JWT) proporcionan un estándar para transferir reclamaciones, pero la seguridad depende de una validación rigurosa. No verificar las firmas, los tiempos de vencimiento o las audiencias previstas permite a los atacantes eludir la autenticación o reproducir los tokens.
Protección de implementaciones de Vercel: mejores prácticas de protección y encabezado
Esta investigación explora las configuraciones de seguridad para aplicaciones alojadas en Vercel, centrándose en la protección de implementación y los encabezados HTTP personalizados. Explica cómo estas funciones protegen los entornos de vista previa y aplican políticas de seguridad del lado del navegador para evitar el acceso no autorizado y los ataques web comunes.
Inyección de comandos críticos del sistema operativo en LibreNMS (CVE-2024-51092)
Las versiones de LibreNMS hasta la 24.9.1 contienen una vulnerabilidad crítica de inyección de comandos del sistema operativo (CVE-2024-51092). Los atacantes autenticados pueden ejecutar comandos arbitrarios en el sistema host, lo que podría comprometer totalmente la infraestructura de monitoreo.
LiteLLM Inyección SQL en Proxy API Verificación de clave (CVE-2026-42208)
Las versiones 1.81.16 a 1.83.6 de LiteLLM contienen una vulnerabilidad crítica de inyección SQL en la lógica de verificación de claves del Proxy API. Esta falla permite a atacantes no autenticados eludir los controles de autenticación o acceder a la base de datos subyacente. El problema se resuelve en la versión 1.83.7.
Firebase Reglas de seguridad: prevención de la exposición de datos no autorizados
Firebase Las reglas de seguridad son la principal defensa para las aplicaciones sin servidor que utilizan Firestore y Cloud Storage. Cuando estas reglas son demasiado permisivas, como permitir el acceso global de lectura o escritura en producción, los atacantes pueden eludir la lógica de la aplicación prevista para robar o eliminar datos confidenciales. Esta investigación explora configuraciones erróneas comunes, los riesgos de los valores predeterminados del "modo de prueba" y cómo implementar el control de acceso basado en identidad.
Protección CSRF: defensa contra cambios de estado no autorizados
La falsificación de solicitudes entre sitios (CSRF) sigue siendo una amenaza importante para las aplicaciones web. Esta investigación explora cómo los marcos modernos como Django implementan protección y cómo los atributos a nivel del navegador como SameSite brindan una defensa en profundidad contra solicitudes no autorizadas.
API Lista de verificación de seguridad: 12 cosas que debe verificar antes de comenzar a funcionar
Las API son la columna vertebral de las aplicaciones web modernas, pero a menudo carecen del rigor de seguridad de las interfaces tradicionales. Este artículo de investigación describe una lista de verificación esencial para proteger las API, centrándose en el control de acceso, la limitación de velocidad y el intercambio de recursos entre orígenes (CORS) para evitar violaciones de datos y abuso de servicios.
API Fuga de claves: riesgos y soluciones en aplicaciones web modernas
Los secretos codificados en el código de interfaz o en el historial del repositorio permiten a los atacantes hacerse pasar por servicios, acceder a datos privados e incurrir en costos. Este artículo cubre los riesgos de filtración de secretos y los pasos necesarios para la limpieza y prevención.
CORS Configuración incorrecta: riesgos de políticas demasiado permisivas
El intercambio de recursos entre orígenes (CORS) es un mecanismo del navegador diseñado para relajar la política del mismo origen (SOP). Si bien es necesaria para las aplicaciones web modernas, una implementación inadecuada (como hacer eco del encabezado Origen del solicitante o incluir en la lista blanca el origen "nulo") puede permitir que sitios maliciosos filtren datos privados del usuario.
Asegurar el MVP: prevenir fugas de datos en aplicaciones SaaS generadas por AI
Las aplicaciones SaaS desarrolladas rápidamente a menudo sufren descuidos de seguridad críticos. Esta investigación explora cómo los secretos filtrados y los controles de acceso rotos, como la falta de seguridad de nivel de fila (RLS), crean vulnerabilidades de alto impacto en las pilas web modernas.