// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
SQL injekzioa Ghost edukian API (CVE-2026-26980)
Ghost 3.24.0-tik 6.19.0-ra bitarteko bertsioek SQL injekzio ahultasun kritiko bat daukate Edukien API. Horri esker, autentifikatu gabeko erasotzaileek SQL komando arbitrarioak exekutatu ditzakete, datuen filtrazioa edo baimenik gabeko aldaketak eragin ditzaketelarik.
Ikerketa guztia
34 articles
Urrutiko kodearen exekuzioa SPIPen txantiloien etiketen bidez (CVE-2016-7998)
SPIP 3.1.2 bertsioek eta aurrekoek ahultasun bat dute txantiloiaren konpositorean. Erasotzaile autentifikatuek HTML fitxategiak karga ditzakete landutako INCLUDE edo INCLURE etiketarekin PHP kode arbitrarioa exekutatzeko zerbitzarian.
ZoneMinder Apache-ren konfigurazio-informazioaren dibulgazioa (CVE-2016-10140)
ZoneMinder 1.29 eta 1.30 bertsioek Apache HTTP zerbitzariaren konfigurazio okerrak eragiten dute. Akats honek urruneko, autentifikatu gabeko erasotzaileei web erroko direktorioan arakatzeko aukera ematen die, eta, baliteke, informazio sentikorra agertzea eta autentifikazioa saihestea.
Next.js Segurtasun goiburuaren konfigurazio okerra next.config.js-en
Goiburuak kudeatzeko next.config.js erabiltzen duten Next.js aplikazioek segurtasun-hutsuneak jasan ditzakete bide-etorkinen ereduak zehaztugabeak badira. Ikerketa honek komodinen eta adierazpen erregularren konfigurazio okerrak bide sentikorretan segurtasun-goiburuak falta izatea eta konfigurazioa nola gogortzea aztertzen du.
Segurtasun goiburuaren konfigurazio desegokia
Web-aplikazioek sarritan huts egiten dute ezinbesteko segurtasun-goiburuak inplementatzen, eta erabiltzaileak guneen arteko scripting (XSS), clickjacking eta datuen injekzioen eraginpean utziz. Ezarritako web-segurtasun-gidalerroak jarraituz eta MDN Behatokia bezalako auditoretza-tresnak erabiliz, garatzaileek beren aplikazioak nabarmen gogor ditzakete arakatzaileetan oinarritutako ohiko erasoen aurka.
OWASP Web garapen azkarreko 10 arrisku nagusiak arintzea
Hacker indieek eta talde txikiek segurtasun-erronka bereziak izaten dituzte bizkor bidaltzean, batez ere AI-k sortutako kodearekin. Ikerketa honek CWE Top 25 eta OWASP kategorietako arrisku errepikakorrak nabarmentzen ditu, sarbide-kontrol hautsiak eta konfigurazio seguruak barne, segurtasun-kontrol automatizatuetarako oinarria eskainiz.
HTTP goiburuko konfigurazio seguruak AI-k sortutako aplikazioetan
AI laguntzaileek sortutako aplikazioek sarritan ez dute ezinbesteko HTTP segurtasun goibururik, eta ez dituzte segurtasun estandar modernoak betetzen. Hutsune honek web-aplikazioak bezeroen alboko eraso arrunten aurrean zaurgarri uzten ditu. Mozilla HTTP Behatokia bezalako erreferentziak erabiliz, garatzaileek falta diren babesak identifikatu ditzakete, hala nola CSP eta HSTS, beren aplikazioaren segurtasun jarrera hobetzeko.
Cross-site Scripting (XSS) ahultasunak detektatu eta prebenitzea
Cross-Site Scripting (XSS) aplikazio batek web orri batean fidagarriak ez diren datuak sartzen dituenean gertatzen da baliozkotze edo kodetze egokirik gabe. Horri esker, erasotzaileek script gaiztoak exekutatu ditzakete biktimaren arakatzailean, eta ondorioz, saioaren bahiketa, baimenik gabeko ekintzak eta datu sentikorrak erakusteko aukera dute.
LiteLLM Proxy SQL injekzioa (CVE-2026-42208)
LiteLLMren proxy osagaian SQL injekzio ahultasun kritiko batek (CVE-2026-42208) erasotzaileek autentifikazioa saihestu edo datu-baseko informazio sentikorra atzitzeko aukera ematen die API gakoen egiaztapen-prozesua baliatuz.
Vibe kodeketaren segurtasun-arriskuak: AI-k sortutako kodea ikuskatzea
"Vibe kodeketaren" gorakadak (aplikazioak batez ere AI abisu azkarren bidez eraikitzea) arriskuak sartzen ditu, hala nola, kredentzialak kode gogorrak eta kode eredu seguruak. AI ereduek ahultasunak dituzten prestakuntza-datuetan oinarritutako kodea iradoki dezaketenez, haien irteera fidagarritzat hartu behar da eta ikuskatu egin behar da eskaneaketa automatikoko tresnak erabiliz, datuen erakusketa saihesteko.
JWT Segurtasuna: segurtasunik gabeko token eta erreklamazioen baliozkotze faltaren arriskuak
JSON Web Tokenek (JWT) erreklamazioak transferitzeko estandar bat eskaintzen dute, baina segurtasuna baliozkotze zorrotzean oinarritzen da. Sinadurak, iraungitze-epeak edo aurreikusitako audientzia egiaztatzeak ez badituzu, erasotzaileek autentifikazioa edo tokenak errepikatu ditzakete.
Vercel inplementazioak ziurtatzea: babesa eta goiburuko praktika onak
Ikerketa honek Vercel-k ostatatutako aplikazioen segurtasun-konfigurazioak aztertzen ditu, Inplementazio Babesean eta HTTP goiburu pertsonalizatuetan zentratuz. Ezaugarri hauek aurrebista-inguruneak nola babesten dituzten eta arakatzailearen aldeko segurtasun-politikak nola babesten dituzten azaltzen du, baimenik gabeko sarbideak eta web-eraso arruntak saihesteko.
Critical OS Command Injection LibreNMS-n (CVE-2024-51092)
LibreNMS 24.9.1-era arteko bertsioek OS komandoak injektatzeko ahultasun kritikoa dute (CVE-2024-51092). Erasotzaile autentifikatuek komando arbitrarioak exekutatu ditzakete ostalari sisteman, eta baliteke monitorizazio azpiegitura erabat arriskuan jartzea.
LiteLLM SQL injekzio proxyan API gakoen egiaztapena (CVE-2026-42208)
LiteLLM 1.81.16tik 1.83.6ra bitarteko bertsioek SQL injekzio ahultasun kritikoa dute Proxy API gakoen egiaztapen-logikan. Akats horri esker, autentifikatu gabeko erasotzaileei autentifikazio-kontrolak saihestu edo azpiko datu-basean sartzeko aukera ematen die. Arazoa 1.83.7 bertsioan konpondu da.
Firebase Segurtasun-arauak: baimenik gabeko datuen esposizioa saihestea
Firebase Segurtasun-arauak Firestore eta Cloud Storage erabiltzen dituzten zerbitzaririk gabeko aplikazioen defentsa nagusia dira. Arau hauek baimentsuegiak direnean, esaterako, ekoizpenean irakurtzeko edo idazteko sarbide globala baimentzea, erasotzaileek datu sentikorrak lapurtzeko edo ezabatzeko aurreikusitako aplikazio-logika saihestu dezakete. Ikerketa honek ohiko konfigurazio okerrak, "proba modua" lehenetsitako arriskuak eta identitatean oinarritutako sarbide-kontrola nola ezarri aztertzen ditu.
CSRF babesa: baimenik gabeko estatu aldaketen aurka defendatzea
Cross-Site Request Forgery (CSRF) mehatxu garrantzitsua izaten jarraitzen du web-aplikazioentzat. Ikerketa honek Django bezalako esparru modernoek babesa nola ezartzen duten aztertzen du eta SameSite bezalako arakatzaile-mailako atributuek baimenik gabeko eskaeren aurka nola babesten duten.
API Segurtasun-zerrenda: Zuzenean jarri aurretik egiaztatu beharreko 12 gauza
APIak web aplikazio modernoen bizkarrezurra dira, baina askotan ez dute frontend tradizionalen segurtasun-zorroztasuna. Ikerketa-artikulu honek APIak ziurtatzeko ezinbesteko kontrol-zerrenda bat zehazten du, sarbide-kontrolean, tasa-mugetan eta jatorrien arteko baliabideen partekatzean (CORS) arreta jarriz, datuen urraketak eta zerbitzuaren gehiegikeriak saihesteko.
API Gako ihesa: arriskuak eta konponketa web aplikazio modernoetan
Frontend kodean edo biltegiaren historian gogor kodetutako sekretuei esker, erasotzaileek zerbitzuak ordezka ditzakete, datu pribatuak atzitu eta kostuak sor ditzakete. Artikulu honek isurketa sekretuaren arriskuak eta garbiketa eta prebentziorako beharrezko urratsak biltzen ditu.
CORS Okerreko konfigurazioa: baimen gehiegizko politikaren arriskuak
Jatorrien arteko baliabideen partekatzea (CORS) Jatorri Bereko Politika (SOP) lasaitzeko diseinatutako arakatzaile-mekanismo bat da. Web-aplikazio modernoetarako beharrezkoa den arren, inplementazio desegokiak —esaterako, eskatzailearen Jatorri-goiburuaren oihartzuna egitea edo jatorri "nulua" zerrenda zuria jartzea- gune gaiztoek erabiltzaileen datu pribatuak kanporatzea ahalbidetu dezakete.
MVPa ziurtatzea: AI-k sortutako SaaS aplikazioetan datu-filtrazioak saihestea
Azkar garatutako SaaS aplikazioek askotan segurtasun gainbegiratze kritikoak pairatzen dituzte. Ikerketa honek filtratutako sekretuek eta hautsitako sarbide-kontrolek, hala nola, Row Level Security (RLS) faltak, eragin handiko ahuleziak sortzen dituzten web pila modernoetan.