// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
Instealladh SQL in Ábhar Taibhse API (CVE-2026-26980)
Tá leochaileacht instealladh SQL ríthábhachtach ag leaganacha Ghost 3.24.0 trí 6.19.0 san Ábhar API. Ligeann sé seo d’ionsaitheoirí neamhdheimhnithe orduithe SQL treallach a fhorghníomhú, rud a d’fhéadfadh a bheith ina chúis le dí-scagadh sonraí nó modhnuithe neamhúdaraithe.
An taighde ar fad
34 articles
Feidhmiú Cianchóid in SPIP trí Chlibeanna Teimpléad (CVE-2016-7998)
Tá leochaileacht sa chumadóir teimpléid i leaganacha 3.1.2 agus níos luaithe de SPIP. Is féidir le hionsaitheoirí fíordheimhnithe comhaid HTML a uaslódáil le clibeanna crafted INCLUDE or INCLURE chun cód PHP treallach a fhorghníomhú ar an bhfreastalaí.
Nochtadh Faisnéise Cumraíochta ZoneMinder Apache (CVE-2016-10140)
Tá tionchar ag formáid mhíchumraithe Freastalaí HTTP Apache cuachta ar leaganacha ZoneMinder 1.29 agus 1.30. Ligeann an locht seo d’ionsaitheoirí cianda neamhfhíordheimhnithe an t-eolaire fréimhe gréasáin a bhrabhsáil, rud a d’fhéadfadh faisnéis íogair a nochtadh agus a sheachbhóthar fíordheimhnithe.
Míchumrú Ceanntásca Slándála Next.js in next.config.js
Tá feidhmchláir Next.js a úsáideann next.config.js do bhainistiú ceanntásca so-ghabhálach i leith bearnaí slándála mura bhfuil patrúin meaitseála cosán míchruinn. Déanann an taighde seo iniúchadh ar an gcaoi a n-eascraíonn mí-chumrú saoróg agus regex ceanntásca slándála a bheith in easnamh ar bhealaí íogaire agus conas an chumraíocht a chruasú.
Cumraíocht Neamhleor Ceanntásca Slándála
Is minic a theipeann ar fheidhmchláir ghréasáin ceanntásca slándála riachtanacha a chur i bhfeidhm, rud a fhágann go mbíonn úsáideoirí faoi lé scriptithe tras-láithreáin (XSS), clickjacking, agus instealladh sonraí. Trí threoirlínte slándála gréasáin seanbhunaithe a leanúint agus uirlisí iniúchta cosúil leis an Réadlann MDN a úsáid, is féidir le forbróirí a bhfeidhmchláir a chruasú go suntasach i gcoinne ionsaithe coitianta brabhsálaí.
OWASP Na 10 bPriacal is Fearr i bhForbairt Mhear Gréasáin a mhaolú
Is minic go mbíonn dúshláin slándála uathúla roimh hackers indie agus foirne beaga agus iad á seoladh go tapa, go háirithe le cód ginte AI. Leagann an taighde seo béim ar rioscaí athfhillteacha ó na catagóirí CWE Top 25 agus OWASP, lena n-áirítear rialú rochtana briste agus cumraíochtaí neamhdhaingean, a sholáthraíonn bunús le haghaidh seiceálacha slándála uathoibrithe.
Cumraíochtaí Ceanntásca HTTP Neamhdhaingean i bhFeidhmchláir a Ghintear AI
Is minic nach mbíonn ceanntásca slándála HTTP riachtanacha ag feidhmchláir a ghineann cúntóirí AI, agus teipeann orthu caighdeáin slándála nua-aimseartha a chomhlíonadh. Fágann an easnamh seo feidhmchláir ghréasáin i mbaol ionsaithe coitianta ar an gcliant. Trí úsáid a bhaint as tagarmharcanna cosúil le Réadlann Mozilla HTTP, is féidir le forbróirí cosaintí atá in easnamh a aithint mar CSP agus HSTS chun staidiúir slándála a bhfeidhmchlár a fheabhsú.
Leochaileachtaí maidir le Scriptiú Trassuíomh a Bhrath agus a Chosc (XSS)
Tarlaíonn Scriptiú Trassuíomh (XSS) nuair a chuimsíonn feidhmchlár sonraí neamhiontaofa ar leathanach gréasáin gan bailíochtú nó ionchódú cuí. Ligeann sé seo d'ionsaitheoirí scripteanna mailíseacha a fhorghníomhú i mbrabhsálaí an íospartaigh, as a dtiocfaidh fuadach seisiúin, gníomhartha neamhúdaraithe, agus nochtadh sonraí íogaire.
Instealladh LiteLLM Proxy SQL (CVE-2026-42208)
Ligeann leochaileacht instealladh SQL chriticiúil (CVE-2026-42208) i gcomhpháirt seachfhreastalaí LiteLLM d'ionsaitheoirí fíordheimhniú nó rochtain a fháil ar fhaisnéis íogair bhunachar sonraí a sheachbhóthar trí leas a bhaint as an bpróiseas fíoraithe eochrach API.
Rioscaí Slándála a bhaineann le Vibe Códú: Iniúchadh Cód Ginte AI
Mar gheall ar an méadú ar 'vibe-códú'—feidhmchláir a fhorbraítear go príomha trí leideanna gasta AI — tugtar isteach rioscaí ar nós dintiúir chruachóid agus patrúin neamhchinnte cóid. Toisc go bhféadfadh samhlacha AI cód a mholadh bunaithe ar shonraí oiliúna ina bhfuil leochaileachtaí, ní mór a n-aschur a láimhseáil mar neamhiontaofa agus iniúchta ag baint úsáide as uirlisí scanadh uathoibrithe chun nochtadh sonraí a chosc.
Slándáil JWT: Rioscaí Comharthaí Neamhurraithe agus Bailíochtú Éilimh ar Iarraidh
Soláthraíonn JSON Web Tokens (JWTs) caighdeán chun éilimh a aistriú, ach braitheann slándáil ar bhailíochtú dian. Má theipeann ar sínithe sínithe, amanna éaga nó lucht féachana beartaithe a fhíorú, is féidir d'ionsaitheoirí fíordheimhniú nó comharthaí athimeartha a sheachbhóthar.
Imscaradh Vercel a Dhaingniú: Cosaint agus Dea-Chleachtais Ceannteidil
Scrúdaíonn an taighde seo cumraíochtaí slándála d’fheidhmchláir arna óstáil ag Vercel, ag díriú ar Chosaint Imlonnaithe agus ceanntásca saincheaptha HTTP. Míníonn sé conas a chosnaíonn na gnéithe seo timpeallachtaí réamhamhairc agus forfheidhmíonn siad beartais slándála ar thaobh an bhrabhsálaí chun rochtain neamhúdaraithe agus ionsaithe gréasáin coitianta a chosc.
Instealladh Ordú Criticiúil OS i LibreNMS (CVE-2024-51092)
Tá leochaileacht instealladh ordaithe OS ríthábhachtach i leaganacha LibreNMS suas go dtí 24.9.1 (CVE-2024-51092). Is féidir le hionsaitheoirí fíordheimhnithe orduithe treallach a fhorghníomhú ar an gcóras óstaigh, rud a d’fhéadfadh comhréiteach iomlán a bheith mar thoradh ar an mbonneagar monatóireachta.
Instealladh LiteLLM SQL i bhFíorú Eochracha API (CVE-2026-42208)
Tá leochaileacht instealladh SQL ríthábhachtach i leaganacha LiteLLM 1.81.16 trí 1.83.6 i loighic fíoraithe eochair Proxy API. Ligeann an locht seo d’ionsaitheoirí neamhdheimhnithe rialuithe fíordheimhnithe a sheachbhóthar nó rochtain a fháil ar an mbunachar sonraí bunúsach. Réitítear an cheist i leagan 1.83.7.
Firebase Rialacha Slándála: Nochtadh Neamhúdaraithe Sonraí a Chosc
Is iad Rialacha Slándála Firebase an phríomhchosaint d’fheidhmchláir gan fhreastalaí a úsáideann Firestore agus Cloud Storage. Nuair a bhíonn na rialacha sin ró-cheadaitheach, amhail rochtain dhomhanda léite nó scríofa a cheadú i dtáirgeadh, is féidir le hionsaitheoirí an loighic feidhmchláir atá beartaithe a sheachaint chun sonraí íogaire a ghoid nó a scriosadh. Déanann an taighde seo iniúchadh ar mhíchumraíochtaí coitianta, na rioscaí a bhaineann le mainneachtainí 'mód tástála', agus conas rialú rochtana bunaithe ar chéannacht a chur i bhfeidhm.
Cosaint CSRF: Ag Cosaint i gCoinne Athruithe Neamhúdaraithe Stáit
Tá Brionnú Iarratas Trassuíomh (CSRF) fós ina bhagairt shuntasach d’fheidhmchláir ghréasáin. Scrúdaíonn an taighde seo conas a chuireann creataí nua-aimseartha cosúil le Django cosaint i bhfeidhm agus conas a sholáthraíonn tréithe leibhéal brabhsálaí mar SameSite cosaint dhomhain in aghaidh iarratais neamhúdaraithe.
Seicliosta Slándála API: 12 rud le seiceáil sula dtéann tú beo
Is iad APIanna cnámh droma na bhfeidhmchlár gréasáin nua-aimseartha ach is minic nach mbíonn déine slándála na n-éadanas traidisiúnta in easnamh orthu. Tugann an t-alt taighde seo breac-chuntas ar sheicliosta riachtanach chun APIanna a dhaingniú, ag díriú ar rialú rochtana, teorannú rátaí, agus comhroinnt acmhainní tras-bhunaidh (CORS) chun sáruithe sonraí agus mí-úsáid seirbhíse a chosc.
API Sceitheadh Eochrach: Rioscaí agus Feabhsúchán in Aipeanna Gréasáin Nua-Aimseartha
Ligeann rúin chrua-chódaithe i gcód tosaigh nó i stair stórtha d'ionsaitheoirí aithris a dhéanamh ar sheirbhísí, rochtain a fháil ar shonraí príobháideacha, agus costais a thabhú. Clúdaíonn an t-alt seo na rioscaí a bhaineann le sceitheadh rúnda agus na céimeanna is gá chun glantachán agus cosc a chur orthu.
CORS Míchumrú: Rioscaí a bhaineann le Polasaithe Ró-cheadaithe
Meicníocht brabhsála is ea Comhroinnt Acmhainne Tras-Thionscnaimh (CORS) atá deartha chun an Beartas Comhthionscnaimh (SOP) a mhaolú. Cé go bhfuil gá le feidhmchláir ghréasáin nua-aimseartha, féadfaidh cur i bhfeidhm míchuí - mar mhacalla ceanntásc Bunús an iarrthóra nó an tionscnamh 'null' a liostú - ligean do shuíomhanna mailíseacha sonraí úsáideoirí príobháideacha a dhí-scagadh.
An MVP a Dhaingniú: Sceitheadh Sonraí a Chosc in Aipeanna SaaS Ginte AI
Is minic a bhíonn maoirseacht criticiúil slándála ar fheidhmchláir SaaS a fhorbraítear go tapa. Scrúdaíonn an taighde seo conas a chruthaíonn rúin sceite agus rialuithe rochtana briste, mar Shlándáil Rae Leibhéal atá ar iarraidh (RLS), leochaileachtaí ardtionchair i stoic ghréasáin nua-aimseartha.