// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
In-stealladh SQL ann an susbaint Taibhse API (CVE-2026-26980)
Ann an dreachan taibhse 3.24.0 tro 6.19.0 tha so-leòntachd stealladh SQL deatamach anns an t-susbaint API. Leigidh seo le luchd-ionnsaigh neo-dhearbhte òrdughan SQL neo-riaghailteach a chuir an gnìomh, a dh’ fhaodadh leantainn gu gluasad dàta no atharrachaidhean gun chead.
A h-uile rannsachadh
34 articles
Cur an gnìomh Còd Iomallach ann an SPIP tro Template Tags (CVE-2016-7998)
Ann an dreachan SPIP 3.1.2 agus nas tràithe tha so-leòntachd ann an sgrìobhaiche an teamplaid. Faodaidh luchd-ionnsaigh dearbhte faidhlichean HTML a luchdachadh suas le tagaichean INLUDE no INCLURE ciùird gus còd PHP neo-riaghailteach a chuir an gnìomh air an fhrithealaiche.
Foillseachadh Fiosrachaidh rèiteachaidh ZoneMinder Apache (CVE-2016-10140)
Tha buaidh aig mì-dhealbhadh frithealaiche Apache HTTP air dreachan ZoneMinder 1.29 agus 1.30. Tha an locht seo a’ leigeil le luchd-ionnsaigh iomallach, neo-dhearbhte sùil a thoirt air an eòlaire freumhan lìn, a dh’ fhaodadh leantainn gu foillseachadh fiosrachaidh mothachail agus seach-rathad dearbhaidh.
Mì-rèiteachadh bann-cinn tèarainteachd Next.js ann an next.config.js
Tha tagraidhean Next.js a’ cleachdadh next.config.js airson riaghladh cinn buailteach do bheàrnan tèarainteachd ma tha pàtrain co-chosmhail ri slighean neo-chinnteach. Bidh an rannsachadh seo a’ sgrùdadh mar a dh’ adhbhraicheas mì-rèiteachaidhean cairt-fiadhaich agus regex cinn-cinn tèarainteachd a dhìth air slighean mothachail agus mar a chruadhaicheas iad an rèiteachadh.
Suidheachadh bann-cinn tèarainteachd mì-fhreagarrach
Gu tric chan eil tagraidhean lìn a’ cur an gnìomh cinn-cinn tèarainteachd riatanach, a’ fàgail luchd-cleachdaidh fosgailte do sgrìobhadh thar-làraich (XSS), clickjacking, agus in-stealladh dàta. Le bhith a’ leantainn stiùiridhean tèarainteachd lìn stèidhichte agus a’ cleachdadh innealan sgrùdaidh leithid Amharclann MDN, faodaidh luchd-leasachaidh na tagraidhean aca a chruadhachadh gu mòr an aghaidh ionnsaighean cumanta stèidhichte air brabhsair.
A ’lasachadh OWASP Na 10 prìomh chunnartan ann an leasachadh lìn luath
Gu tric bidh dùbhlain tèarainteachd sònraichte aig luchd-hackers indie agus sgiobaidhean beaga nuair a bhios iad a’ lìbhrigeadh gu sgiobalta, gu sònraichte le còd a ghineadh AI. Tha an rannsachadh seo a’ soilleireachadh cunnartan a tha a’ nochdadh a-rithist bho na roinnean CWE Top 25 agus OWASP, a’ toirt a-steach smachd ruigsinneachd briste agus rèiteachadh mì-chinnteach, a’ toirt seachad bunait airson sgrùdaidhean tèarainteachd fèin-ghluasadach.
Rèiteachaidhean cinn HTTP mì-chinnteach ann an tagraidhean a chaidh a ghineadh le AI
Gu tric chan eil cinn-cinn tèarainteachd HTTP riatanach ann an tagraidhean a thig bho luchd-cuideachaidh AI, nach eil a’ coinneachadh ri inbhean tèarainteachd an latha an-diugh. Tha an dearmad seo a’ fàgail thagraidhean lìn so-leònte ri ionnsaighean cumanta taobh teachdaiche. Le bhith a’ cleachdadh slatan-tomhais leithid Amharclann Mozilla HTTP, faodaidh luchd-leasachaidh dìonan a tha a dhìth a chomharrachadh leithid CSP agus HSTS gus suidheachadh tèarainteachd an aplacaid aca a leasachadh.
A’ lorg agus a’ casg sgrìobhadh thar-làraich (XSS) so-leòntachd
Bidh Sgriobtadh Thar-làraich (XSS) a’ tachairt nuair a bhios tagradh a’ toirt a-steach dàta neo-earbsach ann an duilleag-lìn gun dearbhadh no còdachadh ceart. Leigidh seo le luchd-ionnsaigh sgriobtaichean droch-rùnach a chuir an gnìomh ann am brobhsair an neach-fulaing, a’ leantainn gu fuadach seisean, gnìomhan gun chead, agus foillseachadh dàta mothachail.
In-stealladh SQL Proxy LiteLLM (CVE-2026-42208)
Tha so-leòntachd stealladh SQL èiginneach (CVE-2026-42208) ann am pàirt neach-ionaid LiteLLM a’ leigeil le luchd-ionnsaigh faighinn seachad air dearbhadh no faighinn gu fiosrachadh stòr-dàta mothachail le bhith a’ gabhail brath air pròiseas dearbhaidh iuchrach API.
Cunnartan tèarainteachd a thaobh còdadh vibe: A’ sgrùdadh còd gineadh AI
Tha àrdachadh ‘vibe code’ - a’ togail thagraidhean gu sònraichte tro bhrosnachadh luath AI - a’ toirt a-steach cunnartan leithid teisteanasan còd cruaidh agus pàtrain còd mì-chinnteach. Leis gum faod modalan AI còd a mholadh stèidhichte air dàta trèanaidh anns a bheil so-leòntachd, feumaidh an toradh aca a bhith air a làimhseachadh mar neo-earbsach agus air a sgrùdadh le bhith a’ cleachdadh innealan sganaidh fèin-ghluasadach gus casg a chuir air sgaoileadh dàta.
Tèarainteachd JWT: Cunnartan comharran neo-thèarainte agus dearbhadh tagraidh a tha a dhìth
Tha JSON Web Tokens (JWTs) a’ toirt seachad inbhe airson tagraidhean a ghluasad, ach tha tèarainteachd an urra ri dearbhadh teann. Mura dèanar dearbhadh air ainmean-sgrìobhte, amannan crìonaidh, no luchd-èisteachd san amharc leigidh luchd-ionnsaigh seachad air dearbhadh no ath-chluich comharran.
A’ dèanamh cinnteach à cleachdadh Vercel: Dìon agus na cleachdaidhean as fheàrr le cinn
Bidh an rannsachadh seo a’ sgrùdadh rèiteachaidhean tèarainteachd airson tagraidhean le aoigheachd Vercel, le fòcas air Dìon Cleachdadh agus bannan-cinn gnàthaichte HTTP. Tha e a’ mìneachadh mar a tha na feartan sin a’ dìon àrainneachdan ro-shealladh agus a’ cur an gnìomh poileasaidhean tèarainteachd taobh a’ bhrobhsair gus casg a chuir air ruigsinneachd gun chead agus ionnsaighean lìn cumanta.
In-stealladh àithne èiginneach OS ann an LibreNMS (CVE-2024-51092)
Ann an dreachan LibreNMS suas gu 24.9.1 tha so-leòntachd in-stealladh àithne OS èiginneach (CVE-2024-51092). Faodaidh luchd-ionnsaigh dearbhte òrdughan neo-riaghailteach a chuir an gnìomh air an t-siostam aoigheachd, a dh’ fhaodadh leantainn gu co-rèiteachadh iomlan den bhun-structar sgrùdaidh.
In-stealladh LiteLLM SQL ann am Proxy API Key Verification (CVE-2026-42208)
Ann an dreachan LiteLLM 1.81.16 tro 1.83.6 tha so-leòntachd èiginneach ann an stealladh SQL ann an loidsig dearbhaidh iuchrach Proxy API. Tha an locht seo a’ leigeil le luchd-ionnsaigh gun dearbhadh a dhol seachad air smachdan dearbhaidh no faighinn chun stòr-dàta bunaiteach. Tha a’ chùis air a fuasgladh ann an dreach 1.83.7.
Riaghailtean tèarainteachd Firebase: A ’cur casg air nochdadh dàta gun chead
Is e Riaghailtean Tèarainteachd Firebase am prìomh dhìon airson tagraidhean gun fhrithealaiche a’ cleachdadh Firestore agus Cloud Storage. Nuair a tha na riaghailtean sin ro cheadach, leithid a bhith a’ ceadachadh ruigsinneachd leughaidh no sgrìobhaidh cruinneil ann an cinneasachadh, faodaidh luchd-ionnsaigh a dhol seachad air loidsig tagraidh san amharc gus dàta mothachail a ghoid no a dhubhadh às. Bidh an rannsachadh seo a’ sgrùdadh mì-rèiteachaidhean cumanta, na cunnartan a tha an lùib ‘modh deuchainn’, agus mar a chuireas tu smachd air ruigsinneachd stèidhichte air dearbh-aithne an gnìomh.
Dìon CSRF: A’ dìon an aghaidh atharrachaidhean stàite gun chead
Tha Forgery Iarrtas Tar-Làraich (CSRF) fhathast na chunnart mòr do thagraidhean lìn. Bidh an rannsachadh seo a’ sgrùdadh mar a tha frèaman ùr-nodha mar Django a’ cur an gnìomh dìon agus mar a tha buadhan ìre brabhsair mar SameSite a’ toirt seachad dìon domhainn an aghaidh iarrtasan gun chead.
Liosta sgrùdaidh tèarainteachd API: 12 rud ri sgrùdadh mus tèid thu beò
Tha APIan mar chnàimh-droma ann an tagraidhean lìn an latha an-diugh ach gu tric chan eil iad cho làidir sa tha tèarainteachd aghaidhean traidiseanta. Tha an artaigil rannsachaidh seo a’ mìneachadh liosta sgrùdaidh riatanach airson APIan fhaighinn, le fòcas air smachd ruigsinneachd, cuingealachadh reataichean, agus roinneadh ghoireasan tar-thùs (CORS) gus casg a chuir air brisidhean dàta agus ana-cleachdadh seirbheis.
API Prìomh aodion: Cunnartan agus leigheas ann an aplacaidean lìn an latha an-diugh
Tha dìomhaireachdan le còd cruaidh ann an còd aghaidh no eachdraidh tasgaidh a’ leigeil le luchd-ionnsaigh atharrais a dhèanamh air seirbheisean, faighinn gu dàta prìobhaideach, agus cosgaisean a tharraing orra. Tha an artaigil seo a’ dèiligeadh ri cunnartan aodion dìomhair agus na ceumannan riatanach airson glanadh agus casg.
CORS Mì-dhealbhadh: Cunnartan de phoileasaidhean a tha ro cheadach
Tha Co-roinn Ghoireasan Tar-thùs (CORS) na inneal brobhsaidh a chaidh a dhealbhadh gus am Poileasaidh Same-Origin (SOP) a shocrachadh. Ged a tha feum air airson aplacaidean lìn an latha an-diugh, faodaidh buileachadh neo-iomchaidh - leithid mac-talla bann-cinn Tùs an neach-iarrtais no liosta geal an tùs ‘null’ - leigeil le làraich droch-rùnach dàta cleachdaiche prìobhaideach a chuir a-mach.
A’ daingneachadh an MVP: A’ cuir casg air dàta aoidionach ann an AI-Generated SaaS Apps
Bidh tagraidhean SaaS a tha air an leasachadh gu luath gu tric a’ fulang le sgrùdaidhean tèarainteachd èiginneach. Bidh an rannsachadh seo a’ sgrùdadh mar a bhios dìomhaireachdan sgaoilte agus smachdan ruigsinneachd briste, leithid Tèarainteachd Ìre Row a tha a dhìth (RLS), a’ cruthachadh so-leòntachd àrd-bhuaidh ann an stacan lìn an latha an-diugh.