// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
ભૂત સામગ્રી API (CVE-2026-26980) માં SQL ઇન્જેક્શન
ઘોસ્ટ વર્ઝન 3.24.0 થી 6.19.0 માં API સામગ્રીમાં જટિલ SQL ઇન્જેક્શન નબળાઈ છે. આ અનધિકૃત હુમલાખોરોને મનસ્વી SQL આદેશો ચલાવવાની મંજૂરી આપે છે, જે સંભવિત રીતે ડેટા એક્સફિલ્ટરેશન અથવા અનધિકૃત ફેરફારો તરફ દોરી જાય છે.
બધું research
34 articles
ટેમ્પલેટ ટૅગ્સ (CVE-2016-7998) દ્વારા SPIP માં રિમોટ કોડ એક્ઝિક્યુશન
SPIP વર્ઝન 3.1.2 અને પહેલાનાં ટેમ્પલેટ કંપોઝરમાં નબળાઈ ધરાવે છે. અધિકૃત હુમલાખોરો સર્વર પર મનસ્વી PHP કોડને એક્ઝિક્યુટ કરવા માટે ક્રાફ્ટ કરેલ INCLUDE અથવા INCLURE ટૅગ્સ સાથે HTML ફાઇલો અપલોડ કરી શકે છે.
ઝોનમાઇન્ડર અપાચે કન્ફિગરેશન માહિતી જાહેરાત (CVE-2016-10140)
ઝોનમાઇન્ડર વર્ઝન 1.29 અને 1.30 બંડલ કરેલ Apache HTTP સર્વર મિસકોન્ફિગરેશન દ્વારા પ્રભાવિત છે. આ ખામી દૂરસ્થ, બિનઅધિકૃત હુમલાખોરોને વેબ રૂટ ડાયરેક્ટરી બ્રાઉઝ કરવાની મંજૂરી આપે છે, જે સંભવિતપણે સંવેદનશીલ માહિતીની જાહેરાત અને પ્રમાણીકરણ બાયપાસ તરફ દોરી જાય છે.
Next.js સુરક્ષા હેડર next.config.js માં ખોટી ગોઠવણી
હેડર મેનેજમેન્ટ માટે next.config.js નો ઉપયોગ કરતી Next.js એપ્લીકેશનો જો પાથ-મેચિંગ પેટર્ન અચોક્કસ હોય તો સુરક્ષા ગેપ માટે સંવેદનશીલ હોય છે. આ સંશોધન અન્વેષણ કરે છે કે કેવી રીતે વાઇલ્ડકાર્ડ અને રેજેક્સ ખોટી ગોઠવણીઓ સંવેદનશીલ માર્ગો પર સુરક્ષા હેડરો ગુમ થવા તરફ દોરી જાય છે અને ગોઠવણીને કેવી રીતે સખત કરવી.
અપૂરતી સુરક્ષા હેડર ગોઠવણી
વેબ એપ્લીકેશનો ઘણીવાર આવશ્યક સુરક્ષા હેડરોનો અમલ કરવામાં નિષ્ફળ જાય છે, જેના કારણે વપરાશકર્તાઓ ક્રોસ-સાઇટ સ્ક્રિપ્ટીંગ (XSS), ક્લિકજેકિંગ અને ડેટા ઇન્જેક્શનના સંપર્કમાં રહે છે. સ્થાપિત વેબ સુરક્ષા માર્ગદર્શિકાને અનુસરીને અને MDN ઓબ્ઝર્વેટરી જેવા ઓડિટીંગ સાધનોનો ઉપયોગ કરીને, વિકાસકર્તાઓ સામાન્ય બ્રાઉઝર-આધારિત હુમલાઓ સામે તેમની એપ્લિકેશનને નોંધપાત્ર રીતે સખત કરી શકે છે.
ઝડપી વેબ વિકાસમાં OWASP ટોચના 10 જોખમોને ઘટાડવા
ખાસ કરીને AI-જનરેટેડ કોડ સાથે, ઝડપી શિપિંગ કરતી વખતે ઇન્ડી હેકર્સ અને નાની ટીમો ઘણીવાર અનન્ય સુરક્ષા પડકારોનો સામનો કરે છે. આ સંશોધન CWE ટોપ 25 અને OWASP કેટેગરીઝના રિકરિંગ જોખમોને હાઇલાઇટ કરે છે, જેમાં તૂટેલા એક્સેસ કંટ્રોલ અને અસુરક્ષિત રૂપરેખાંકનોનો સમાવેશ થાય છે, જે સ્વચાલિત સુરક્ષા તપાસ માટે પાયો પૂરો પાડે છે.
AI-જનરેટેડ એપ્લિકેશન્સમાં અસુરક્ષિત HTTP હેડર રૂપરેખાંકનો
AI સહાયકો દ્વારા જનરેટ કરાયેલ એપ્લિકેશન્સમાં વારંવાર આવશ્યક HTTP સુરક્ષા હેડરોનો અભાવ હોય છે, જે આધુનિક સુરક્ષા ધોરણોને પૂર્ણ કરવામાં નિષ્ફળ જાય છે. આ અવગણના વેબ એપ્લિકેશનોને સામાન્ય ક્લાયંટ-સાઇડ હુમલાઓ માટે સંવેદનશીલ બનાવે છે. Mozilla HTTP ઓબ્ઝર્વેટરી જેવા બેન્ચમાર્કનો ઉપયોગ કરીને, વિકાસકર્તાઓ તેમની એપ્લિકેશનની સુરક્ષા મુદ્રામાં સુધારો કરવા માટે CSP અને HSTS જેવા ખૂટતા રક્ષણોને ઓળખી શકે છે.
ક્રોસ-સાઇટ સ્ક્રિપ્ટીંગ (XSS) નબળાઈઓ શોધવી અને અટકાવવી
ક્રોસ-સાઇટ સ્ક્રિપ્ટીંગ (XSS) ત્યારે થાય છે જ્યારે એપ્લિકેશન યોગ્ય માન્યતા અથવા એન્કોડિંગ વિના વેબ પૃષ્ઠમાં અવિશ્વસનીય ડેટાનો સમાવેશ કરે છે. આ હુમલાખોરોને પીડિતના બ્રાઉઝરમાં દૂષિત સ્ક્રિપ્ટો ચલાવવાની મંજૂરી આપે છે, જે સત્ર હાઇજેક, અનધિકૃત ક્રિયાઓ અને સંવેદનશીલ ડેટા એક્સપોઝર તરફ દોરી જાય છે.
LiteLLM પ્રોક્સી SQL ઇન્જેક્શન (CVE-2026-42208)
LiteLLM ના પ્રોક્સી ઘટકમાં નિર્ણાયક SQL ઈન્જેક્શન નબળાઈ (CVE-2026-42208) હુમલાખોરોને API કી ચકાસણી પ્રક્રિયાનો ઉપયોગ કરીને પ્રમાણીકરણને બાયપાસ કરવા અથવા સંવેદનશીલ ડેટાબેઝ માહિતીને ઍક્સેસ કરવાની મંજૂરી આપે છે.
Vibe કોડિંગના સુરક્ષા જોખમો: AI-જનરેટેડ કોડનું ઑડિટ કરવું
'વાઇબ કોડિંગ' નો ઉદય - પ્રાથમિક રીતે ઝડપી AI પ્રોમ્પ્ટીંગ દ્વારા એપ્લિકેશન્સનું નિર્માણ - હાર્ડકોડેડ ઓળખપત્રો અને અસુરક્ષિત કોડ પેટર્ન જેવા જોખમો રજૂ કરે છે. કારણ કે AI મોડલ નબળાઈઓ ધરાવતા તાલીમ ડેટાના આધારે કોડ સૂચવી શકે છે, તેમના આઉટપુટને અવિશ્વસનીય ગણવું જોઈએ અને ડેટા એક્સપોઝરને રોકવા માટે સ્વચાલિત સ્કેનીંગ ટૂલ્સનો ઉપયોગ કરીને ઓડિટ કરવું જોઈએ.
JWT સુરક્ષા: અસુરક્ષિત ટોકન્સનું જોખમ અને દાવાની માન્યતા ખૂટે છે
JSON વેબ ટોકન્સ (JWTs) દાવાઓને સ્થાનાંતરિત કરવા માટે એક માનક પ્રદાન કરે છે, પરંતુ સુરક્ષા સખત માન્યતા પર આધાર રાખે છે. હસ્તાક્ષર, સમાપ્તિ સમય, અથવા ઉદ્દેશિત પ્રેક્ષકોને ચકાસવામાં નિષ્ફળતા હુમલાખોરોને પ્રમાણીકરણને બાયપાસ કરવા અથવા ટોકન્સને ફરીથી ચલાવવાની મંજૂરી આપે છે.
Vercel ડિપ્લોયમેન્ટ્સને સુરક્ષિત કરવું: રક્ષણ અને હેડર શ્રેષ્ઠ વ્યવહારો
આ સંશોધન Vercel-હોસ્ટેડ એપ્લીકેશનો માટે સુરક્ષા રૂપરેખાંકનોની શોધ કરે છે, ડિપ્લોયમેન્ટ પ્રોટેક્શન અને કસ્ટમ HTTP હેડરો પર ધ્યાન કેન્દ્રિત કરે છે. તે સમજાવે છે કે કેવી રીતે આ સુવિધાઓ પૂર્વાવલોકન વાતાવરણને સુરક્ષિત કરે છે અને અનધિકૃત ઍક્સેસ અને સામાન્ય વેબ હુમલાઓને રોકવા માટે બ્રાઉઝર-સાઇડ સુરક્ષા નીતિઓ લાગુ કરે છે.
લિબ્રેએનએમએસ (CVE-2024-51092) માં ક્રિટિકલ OS કમાન્ડ ઇન્જેક્શન
24.9.1 સુધીના LibreNMS સંસ્કરણોમાં જટિલ OS કમાન્ડ ઈન્જેક્શન નબળાઈ (CVE-2024-51092) છે. અધિકૃત હુમલાખોરો યજમાન સિસ્ટમ પર મનસ્વી આદેશો ચલાવી શકે છે, જે સંભવિતપણે મોનિટરિંગ ઇન્ફ્રાસ્ટ્રક્ચરના સંપૂર્ણ સમાધાન તરફ દોરી જાય છે.
પ્રોક્સી API કી વેરિફિકેશનમાં LiteLLM SQL ઈન્જેક્શન (CVE-2026-42208)
LiteLLM વર્ઝન 1.81.16 થી 1.83.6 માં પ્રોક્સી API કી વેરિફિકેશન લોજિકમાં જટિલ SQL ઈન્જેક્શન નબળાઈ છે. આ ખામી બિનઅધિકૃત હુમલાખોરોને પ્રમાણીકરણ નિયંત્રણોને બાયપાસ કરવા અથવા અંતર્ગત ડેટાબેઝને ઍક્સેસ કરવાની મંજૂરી આપે છે. આવૃત્તિ 1.83.7 માં સમસ્યા ઉકેલાઈ છે.
Firebase સુરક્ષા નિયમો: અનધિકૃત ડેટા એક્સપોઝરને અટકાવવા
Firebase સુરક્ષા નિયમો ફાયરસ્ટોર અને ક્લાઉડ સ્ટોરેજનો ઉપયોગ કરીને સર્વરલેસ એપ્લિકેશન્સ માટે પ્રાથમિક સંરક્ષણ છે. જ્યારે આ નિયમો ખૂબ જ અનુમતિપૂર્ણ હોય છે, જેમ કે ઉત્પાદનમાં વૈશ્વિક વાંચન અથવા લેખન ઍક્સેસની મંજૂરી આપવી, હુમલાખોરો સંવેદનશીલ ડેટાની ચોરી અથવા કાઢી નાખવા હેતુસર એપ્લિકેશન તર્કને બાયપાસ કરી શકે છે. આ સંશોધન સામાન્ય ખોટી ગોઠવણીઓ, 'ટેસ્ટ મોડ' ડિફોલ્ટના જોખમો અને ઓળખ-આધારિત એક્સેસ નિયંત્રણને કેવી રીતે અમલમાં મૂકવું તેની શોધ કરે છે.
CSRF રક્ષણ: રાજ્યના અનધિકૃત ફેરફારો સામે બચાવ
ક્રોસ-સાઇટ રિક્વેસ્ટ ફોર્જરી (CSRF) વેબ એપ્લિકેશન્સ માટે નોંધપાત્ર ખતરો છે. આ સંશોધન અન્વેષણ કરે છે કે કેવી રીતે Django જેવા આધુનિક ફ્રેમવર્ક સંરક્ષણને અમલમાં મૂકે છે અને કેવી રીતે SameSite જેવા બ્રાઉઝર-લેવલ એટ્રિબ્યુટ્સ અનધિકૃત વિનંતીઓ સામે રક્ષણ પૂરું પાડે છે.
API સુરક્ષા ચેકલિસ્ટ: લાઇવ થતાં પહેલાં 12 વસ્તુઓ તપાસવી
API એ આધુનિક વેબ એપ્લીકેશનની કરોડરજ્જુ છે પરંતુ ઘણીવાર પરંપરાગત ફ્રન્ટએન્ડની સુરક્ષા કઠોરતાનો અભાવ હોય છે. આ સંશોધન લેખ ડેટા ભંગ અને સેવાના દુરુપયોગને રોકવા માટે API ને સુરક્ષિત કરવા, ઍક્સેસ નિયંત્રણ, દર મર્યાદા અને ક્રોસ-ઓરિજિન રિસોર્સ શેરિંગ (CORS) પર ધ્યાન કેન્દ્રિત કરવા માટે એક આવશ્યક ચેકલિસ્ટની રૂપરેખા આપે છે.
API કી લિકેજ: આધુનિક વેબ એપ્લિકેશન્સમાં જોખમો અને ઉપાય
ફ્રન્ટએન્ડ કોડ અથવા રિપોઝીટરી ઇતિહાસમાં હાર્ડ-કોડેડ રહસ્યો હુમલાખોરોને સેવાઓનો ઢોંગ કરવા, ખાનગી ડેટાને ઍક્સેસ કરવા અને ખર્ચ ઉઠાવવાની મંજૂરી આપે છે. આ લેખ ગુપ્ત લિકેજના જોખમો અને સફાઈ અને નિવારણ માટે જરૂરી પગલાંને આવરી લે છે.
CORS ખોટી ગોઠવણી: વધુ પડતી પરવાનગી આપતી નીતિઓના જોખમો
ક્રોસ-ઓરિજિન રિસોર્સ શેરિંગ (CORS) એ સેમ-ઓરિજિન પોલિસી (SOP) ને હળવા કરવા માટે રચાયેલ બ્રાઉઝર મિકેનિઝમ છે. આધુનિક વેબ એપ્સ માટે જરૂરી હોવા છતાં, અયોગ્ય અમલીકરણ-જેમ કે વિનંતીકર્તાના મૂળ હેડરને પડઘો પાડવો અથવા 'નલ' મૂળને વ્હાઇટલિસ્ટ કરવું-દુષિત સાઇટ્સને ખાનગી વપરાશકર્તા ડેટાને બહાર કાઢવાની મંજૂરી આપી શકે છે.
MVP ને સુરક્ષિત કરવું: AI-જનરેટેડ SaaS એપ્સમાં ડેટા લીક અટકાવવું
ઝડપથી વિકસિત SaaS એપ્લીકેશન ઘણીવાર ગંભીર સુરક્ષા અવલોકનોથી પીડાય છે. આ સંશોધન શોધ કરે છે કે કેવી રીતે લીક થયેલા રહસ્યો અને તૂટેલા ઍક્સેસ નિયંત્રણો, જેમ કે ગુમ થયેલ રો લેવલ સિક્યુરિટી (RLS), આધુનિક વેબ સ્ટેક્સમાં ઉચ્ચ-અસરકારક નબળાઈઓ બનાવે છે.