// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
SQL Injection sa Ghost Content API (CVE-2026-26980)
Ang mga bersyon ng Ghost na 3.24.0 hanggang 6.19.0 ay naglalaman ng kritikal na kahinaan ng SQL injection sa Content na API. Nagbibigay-daan ito sa mga hindi na-authenticate na attacker na magsagawa ng mga arbitrary na SQL command, na posibleng humahantong sa data exfiltration o hindi awtorisadong pagbabago.
Lahat ng research
34 articles
Remote Code Execution sa SPIP sa pamamagitan ng Template Tags (CVE-2016-7998)
Ang mga bersyon ng SPIP 3.1.2 at mas nauna ay naglalaman ng kahinaan sa template composer. Maaaring mag-upload ng mga HTML na file ang mga napatotohanang umaatake na may mga ginawang INCLUDE o INCLURE tag upang magsagawa ng arbitrary na PHP code sa server.
Pagbubunyag ng Impormasyon ng Configuration ng ZoneMinder Apache (CVE-2016-10140)
Ang mga bersyon 1.29 at 1.30 ng ZoneMinder ay apektado ng isang bundle na maling configuration ng Apache HTTP Server. Ang kapintasan na ito ay nagbibigay-daan sa malalayo, hindi napatotohanan na mga umaatake na mag-browse sa web root directory, na posibleng humahantong sa sensitibong pagsisiwalat ng impormasyon at pag-bypass ng pagpapatotoo.
Next.js Security Header Misconfiguration sa next.config.js
Ang mga Next.js na application na gumagamit ng next.config.js para sa pamamahala ng header ay madaling kapitan ng mga gap sa seguridad kung ang mga pattern ng pagtutugma ng landas ay hindi tumpak. Sinasaliksik ng pananaliksik na ito kung paano humahantong ang mga maling pagsasaayos ng wildcard at regex sa mga nawawalang header ng seguridad sa mga sensitibong ruta at kung paano patigasin ang configuration.
Hindi Sapat na Security Header Configuration
Ang mga web application ay madalas na hindi nagpapatupad ng mga mahahalagang header ng seguridad, na nag-iiwan sa mga user na nakalantad sa cross-site scripting (XSS), clickjacking, at data injection. Sa pamamagitan ng pagsunod sa mga itinatag na alituntunin sa seguridad sa web at paggamit ng mga tool sa pag-audit tulad ng MDN Observatory, maaaring patigasin ng mga developer ang kanilang mga application laban sa mga karaniwang pag-atake na nakabatay sa browser.
Pagbabawas ng OWASP Nangungunang 10 Mga Panganib sa Mabilis na Pag-unlad ng Web
Ang mga indie hacker at maliliit na team ay madalas na nahaharap sa mga natatanging hamon sa seguridad kapag mabilis ang pagpapadala, lalo na sa AI na binuong code. Itinatampok ng pananaliksik na ito ang mga paulit-ulit na panganib mula sa CWE Top 25 at OWASP na mga kategorya, kabilang ang sirang access control at hindi secure na mga configuration, na nagbibigay ng pundasyon para sa mga awtomatikong pagsusuri sa seguridad.
Hindi secure na HTTP Header Configuration sa AI-Generated Applications
Ang mga application na binuo ng mga AI assistant ay madalas na kulang sa mahahalagang HTTP security header, na hindi nakakatugon sa mga modernong pamantayan sa seguridad. Ang pag-alis na ito ay nag-iiwan sa mga web application na mahina laban sa mga karaniwang pag-atake sa panig ng kliyente. Sa pamamagitan ng paggamit ng mga benchmark tulad ng Mozilla HTTP Observatory, matutukoy ng mga developer ang mga nawawalang proteksyon gaya ng CSP at HSTS upang mapabuti ang postura ng seguridad ng kanilang application.
Pag-detect at Pag-iwas sa Cross-Site Scripting (XSS) Mga Kahinaan
Ang Cross-Site Scripting (XSS) ay nangyayari kapag ang isang application ay nagsasama ng hindi pinagkakatiwalaang data sa isang web page nang walang wastong pagpapatunay o pag-encode. Nagbibigay-daan ito sa mga umaatake na magsagawa ng mga nakakahamak na script sa browser ng biktima, na humahantong sa pag-hijack ng session, hindi awtorisadong pagkilos, at pagkakalantad sa sensitibong data.
LiteLLM Proxy SQL Injection (CVE-2026-42208)
Ang isang kritikal na kahinaan ng SQL injection (CVE-2026-42208) sa proxy component ng LiteLLM ay nagbibigay-daan sa mga umaatake na i-bypass ang pagpapatotoo o i-access ang sensitibong impormasyon sa database sa pamamagitan ng pagsasamantala sa proseso ng pag-verify ng key ng API.
Mga Panganib sa Seguridad ng Vibe Coding: Pag-audit ng AI-Generated Code
Ang pagtaas ng 'vibe coding'—pagbuo ng mga application pangunahin sa pamamagitan ng mabilis na pag-prompt ng AI—ay nagpapakilala ng mga panganib tulad ng mga naka-hardcode na kredensyal at hindi secure na mga pattern ng code. Dahil ang mga modelong AI ay maaaring magmungkahi ng code batay sa data ng pagsasanay na naglalaman ng mga kahinaan, dapat ituring ang kanilang output bilang hindi pinagkakatiwalaan at na-audit gamit ang mga awtomatikong tool sa pag-scan upang maiwasan ang pagkakalantad ng data.
JWT Security: Mga Panganib ng Mga Hindi Secure na Token at Nawawalang Pagpapatunay ng Claim
Nagbibigay ang JSON Web Tokens (JWTs) ng pamantayan para sa paglilipat ng mga claim, ngunit umaasa ang seguridad sa mahigpit na pagpapatunay. Ang hindi pag-verify ng mga lagda, mga oras ng pag-expire, o mga nilalayong madla ay nagbibigay-daan sa mga umaatake na i-bypass ang pagpapatotoo o pag-replay ng mga token.
Pag-secure ng Vercel Deployment: Proteksyon at Mga Pinakamahuhusay na Kasanayan sa Header
Sinasaliksik ng pananaliksik na ito ang mga configuration ng seguridad para sa mga application na naka-host ng Vercel, na nakatuon sa Deployment Protection at mga custom na HTTP header. Ipinapaliwanag nito kung paano pinoprotektahan ng mga feature na ito ang mga preview na kapaligiran at ipinapatupad ang mga patakaran sa seguridad sa gilid ng browser upang maiwasan ang hindi awtorisadong pag-access at karaniwang pag-atake sa web.
Kritikal na OS Command Injection sa LibreNMS (CVE-2024-51092)
Ang mga bersyon ng LibreNMS hanggang 24.9.1 ay naglalaman ng isang kritikal na OS command injection na kahinaan (CVE-2024-51092). Ang mga authenticated attacker ay maaaring magsagawa ng mga di-makatwirang utos sa host system, na posibleng humantong sa kabuuang kompromiso ng monitoring infrastructure.
LiteLLM SQL Injection sa Proxy API Key Verification (CVE-2026-42208)
Ang mga bersyon ng LiteLLM na 1.81.16 hanggang 1.83.6 ay naglalaman ng kritikal na kahinaan ng SQL injection sa Proxy API key verification logic. Ang kapintasan na ito ay nagbibigay-daan sa mga hindi na-authenticate na umaatake na i-bypass ang mga kontrol sa pagpapatotoo o i-access ang pinagbabatayan na database. Ang isyu ay nalutas sa bersyon 1.83.7.
Firebase Mga Panuntunan sa Seguridad: Pag-iwas sa Hindi Awtorisadong Pagkakalantad ng Data
Ang Firebase Security Rules ay ang pangunahing depensa para sa mga serverless na application gamit ang Firestore at Cloud Storage. Kapag masyadong pinahintulutan ang mga panuntunang ito, gaya ng pagpayag sa pandaigdigang read o write access sa produksyon, maaaring lampasan ng mga attacker ang nilalayong logic ng application upang magnakaw o magtanggal ng sensitibong data. Sinasaliksik ng pananaliksik na ito ang mga karaniwang maling pagsasaayos, ang mga panganib ng mga default ng 'test mode', at kung paano ipatupad ang kontrol sa access na nakabatay sa pagkakakilanlan.
Proteksyon ng CSRF: Pagtatanggol Laban sa Mga Hindi Awtorisadong Pagbabago ng Estado
Ang Cross-Site Request Forgery (CSRF) ay nananatiling isang malaking banta sa mga web application. Sinasaliksik ng pananaliksik na ito kung paano nagpapatupad ng proteksyon ang mga modernong framework tulad ng Django at kung paano nagbibigay ng malalim na depensa ang mga attribute sa antas ng browser tulad ng SameSite laban sa mga hindi awtorisadong kahilingan.
API Checklist ng Seguridad: 12 Bagay na Dapat Suriin Bago Mag-live
Ang mga API ay ang backbone ng mga modernong web application ngunit kadalasan ay kulang sa seguridad ng mga tradisyunal na frontend. Binabalangkas ng artikulo ng pananaliksik na ito ang isang mahalagang checklist para sa pag-secure ng mga API, na nakatuon sa kontrol sa pag-access, paglilimita sa rate, at pagbabahagi ng mapagkukunang cross-origin (CORS) upang maiwasan ang mga paglabag sa data at pag-abuso sa serbisyo.
API Key Leakage: Mga Panganib at Remediation sa Modern Web Apps
Ang mga hard-coded na lihim sa frontend code o history ng repository ay nagbibigay-daan sa mga umaatake na magpanggap bilang mga serbisyo, mag-access ng pribadong data, at magkaroon ng mga gastos. Sinasaklaw ng artikulong ito ang mga panganib ng lihim na pagtagas at ang mga kinakailangang hakbang para sa paglilinis at pag-iwas.
CORS Maling configuration: Mga Panganib ng Labis na Pinahihintulutan na Mga Patakaran
Ang Cross-Origin Resource Sharing (CORS) ay isang mekanismo ng browser na idinisenyo upang i-relax ang Same-Origin Policy (SOP). Bagama't kinakailangan para sa mga modernong web app, ang hindi wastong pagpapatupad—tulad ng pag-echo sa Origin header ng humihiling o pag-whitelist sa 'null' na pinagmulan—ay maaaring magpapahintulot sa mga nakakahamak na site na mag-exfiltrate ng pribadong data ng user.
Pag-secure sa MVP: Pag-iwas sa Mga Pag-leak ng Data sa AI-Generated SaaS Apps
Ang mga mabilis na binuong SaaS application ay kadalasang dumaranas ng mga kritikal na pangangasiwa sa seguridad. Sinasaliksik ng pananaliksik na ito kung paano ang mga nag-leak na lihim at sirang mga kontrol sa pag-access, gaya ng nawawalang Row Level Security (RLS), ay gumagawa ng mga kahinaan na may mataas na epekto sa mga modernong web stack.