// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
SQL Injection in Ghost Content API (CVE-2026-26980)
Ghost verzije 3.24.0 do 6.19.0 sadrže kritičnu ranjivost SQL injekcije u sadržaju API. To omogućuje neautentificiranim napadačima izvršavanje proizvoljnih SQL naredbi, što potencijalno dovodi do krađe podataka ili neovlaštenih izmjena.
Sva istraživanja
34 articles
Udaljeno izvršavanje koda u SPIP-u putem oznaka predloška (CVE-2016-7998)
SPIP verzije 3.1.2 i starije sadrže ranjivost u sastavljaču predložaka. Autentificirani napadači mogu učitati HTML datoteke s izrađenim oznakama INCLUDE ili INCLURE za izvršavanje proizvoljnog PHP koda na poslužitelju.
Otkrivanje informacija o konfiguraciji ZoneMinder Apache (CVE-2016-10140)
Na ZoneMinder verzije 1.29 i 1.30 utječe pogrešna konfiguracija povezanog Apache HTTP poslužitelja. Ovaj propust omogućuje udaljenim, neautentificiranim napadačima da pregledaju web korijenski direktorij, što potencijalno dovodi do otkrivanja osjetljivih informacija i zaobilaženja autentifikacije.
Next.js Pogrešna konfiguracija sigurnosnog zaglavlja u next.config.js
Next.js aplikacije koje koriste next.config.js za upravljanje zaglavljem osjetljive su na sigurnosne nedostatke ako su obrasci usklađivanja puteva neprecizni. Ovo istraživanje istražuje kako pogrešne konfiguracije zamjenskih znakova i regularnih izraza dovode do nedostatka sigurnosnih zaglavlja na osjetljivim rutama i kako ojačati konfiguraciju.
Neadekvatna konfiguracija sigurnosnog zaglavlja
Web aplikacije često ne uspijevaju implementirati bitna sigurnosna zaglavlja, ostavljajući korisnike izloženima skriptiranju na više stranica (XSS), pljačkanju klikova i ubacivanju podataka. Slijedeći utvrđene sigurnosne smjernice za web i koristeći alate za reviziju kao što je MDN Observatory, programeri mogu značajno ojačati svoje aplikacije protiv uobičajenih napada temeljenih na pregledniku.
Ublažavanje OWASP 10 najvećih rizika u brzom web razvoju
Nezavisni hakeri i mali timovi često se suočavaju s jedinstvenim sigurnosnim izazovima pri brzoj isporuci, posebno s kodom koji generira AI. Ovo istraživanje naglašava ponavljajuće rizike iz kategorija CWE Top 25 i OWASP, uključujući neispravnu kontrolu pristupa i nesigurne konfiguracije, pružajući temelj za automatizirane sigurnosne provjere.
Nesigurne konfiguracije HTTP zaglavlja u aplikacijama koje generira AI
Aplikacije koje generiraju pomoćnici AI često nemaju bitna HTTP sigurnosna zaglavlja, ne ispunjavajući moderne sigurnosne standarde. Ovaj propust ostavlja web aplikacije ranjivima na uobičajene napade na strani klijenta. Korištenjem referentnih vrijednosti kao što je Mozilla HTTP Observatory, programeri mogu identificirati nedostajuće zaštite kao što su CSP i HSTS kako bi poboljšali sigurnosno stanje svoje aplikacije.
Otkrivanje i sprječavanje ranjivosti međumjesnog skriptiranja (XSS)
Cross-Site Scripting (XSS) događa se kada aplikacija uključi nepouzdane podatke na web stranici bez odgovarajuće provjere valjanosti ili kodiranja. To omogućuje napadačima da izvrše zlonamjerne skripte u žrtvinom pregledniku, što dovodi do otmice sesije, neovlaštenih radnji i izlaganja osjetljivih podataka.
LiteLLM Proxy SQL Injection (CVE-2026-42208)
Kritična ranjivost SQL injekcije (CVE-2026-42208) u proxy komponenti LiteLLM-a omogućuje napadačima da zaobiđu autentifikaciju ili pristupe osjetljivim informacijama baze podataka iskorištavanjem procesa verifikacije ključa API.
Sigurnosni rizici Vibe kodiranja: revizija AI-generiranog koda
Uspon 'vibe kodiranja'—izrada aplikacija prvenstveno putem brzih AI promptova—uvodi rizike kao što su tvrdo kodirane vjerodajnice i nesigurni uzorci koda. Budući da modeli AI mogu predložiti kod temeljen na podacima o obuci koji sadrže ranjivosti, njihov se izlaz mora tretirati kao nepouzdan i revidirati korištenjem automatiziranih alata za skeniranje kako bi se spriječilo izlaganje podataka.
JWT Sigurnost: Rizici nezaštićenih tokena i nedostajuće provjere valjanosti zahtjeva
JSON web tokeni (JWT) pružaju standard za prijenos zahtjeva, ali sigurnost se oslanja na rigoroznu provjeru valjanosti. Neuspjeh u provjeravanju potpisa, vremena isteka ili namijenjene publike omogućuje napadačima da zaobiđu autentifikaciju ili ponovno reproduciraju tokene.
Zaštita Vercel implementacija: Zaštita i najbolji primjeri iz prakse
Ovo istraživanje istražuje sigurnosne konfiguracije za aplikacije hostirane na Vercel, fokusirajući se na zaštitu implementacije i prilagođena HTTP zaglavlja. Objašnjava kako ove značajke štite okruženja pregleda i provode sigurnosna pravila na strani preglednika kako bi spriječili neovlašteni pristup i uobičajene web napade.
Uvođenje kritične OS naredbe u LibreNMS (CVE-2024-51092)
Verzije LibreNMS-a do 24.9.1 sadrže kritičnu ranjivost ubrizgavanja OS naredbi (CVE-2024-51092). Autentificirani napadači mogu izvršavati proizvoljne naredbe na glavnom sustavu, što potencijalno može dovesti do potpunog ugrožavanja infrastrukture nadzora.
LiteLLM SQL ubacivanje u proxy API provjera ključa (CVE-2026-42208)
LiteLLM verzije 1.81.16 do 1.83.6 sadrže kritičnu ranjivost SQL injekcije u proxy API logici provjere ključa. Ova greška omogućuje neautentificiranim napadačima da zaobiđu kontrole provjere autentičnosti ili pristupe temeljnoj bazi podataka. Problem je riješen u verziji 1.83.7.
Firebase Sigurnosna pravila: Sprječavanje neovlaštenog izlaganja podataka
Firebase Sigurnosna pravila primarna su obrana za aplikacije bez poslužitelja koje koriste Firestore i Cloud Storage. Kada su ta pravila previše popustljiva, poput dopuštanja globalnog pristupa za čitanje ili pisanje u produkciji, napadači mogu zaobići predviđenu logiku aplikacije kako bi ukrali ili izbrisali osjetljive podatke. Ovo istraživanje istražuje uobičajene pogrešne konfiguracije, rizike zadanih postavki 'testnog načina rada' i kako implementirati kontrolu pristupa temeljenu na identitetu.
Zaštita CSRF-a: Obrana od neovlaštenih promjena stanja
Cross-Site Request Forgery (CSRF) ostaje značajna prijetnja web aplikacijama. Ovo istraživanje istražuje kako moderni okviri kao što je Django implementiraju zaštitu i kako atributi na razini preglednika kao što je SameSite pružaju dubinsku obranu od neovlaštenih zahtjeva.
API Popis za sigurnosnu provjeru: 12 stvari koje treba provjeriti prije pokretanja uživo
API-ji su okosnica modernih web aplikacija, ali im često nedostaje sigurnosna strogost tradicionalnih sučelja. Ovaj istraživački članak ocrtava osnovni kontrolni popis za osiguranje API-ja, s fokusom na kontrolu pristupa, ograničavanje brzine i dijeljenje resursa s više izvora (CORS) kako bi se spriječile povrede podataka i zlouporaba usluga.
API Curenje ključa: rizici i sanacija u modernim web-aplikacijama
Tvrdo kodirane tajne u kodu sučelja ili povijesti repozitorija omogućuju napadačima lažno predstavljanje usluga, pristup privatnim podacima i stvaranje troškova. Ovaj članak pokriva rizike od curenja tajne i potrebne korake za čišćenje i prevenciju.
CORS Pogrešna konfiguracija: Rizici pretjerano popustljivih pravila
Dijeljenje izvora s različitim podrijetlima (CORS) je mehanizam preglednika koji je osmišljen za ublažavanje pravila istog podrijetla (SOP). Iako je neophodna za suvremene web-aplikacije, nepravilna implementacija—kao što je ponavljanje zaglavlja Izvora zahtjevatelja ili stavljanje 'nultog' porijekla na popis dopuštenih—može dopustiti zlonamjernim web-lokacijama eksfiltraciju privatnih korisničkih podataka.
Osiguranje MVP-a: Sprječavanje curenja podataka u SaaS aplikacijama koje generira AI
Brzo razvijene SaaS aplikacije često pate od kritičnih sigurnosnih propusta. Ovo istraživanje istražuje kako procurile tajne i neispravne kontrole pristupa, kao što je sigurnost na razini retka koja nedostaje (RLS), stvaraju ranjivosti visokog utjecaja u modernim web skupovima.