// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
SQL ներարկում Ghost Content-ում API (CVE-2026-26980)
Ghost 3.24.0-ից մինչև 6.19.0 տարբերակները պարունակում են SQL ներարկման կարևոր խոցելիություն Content API-ում: Սա թույլ է տալիս չհաստատված հարձակվողներին կատարել կամայական SQL հրամաններ, որոնք կարող են հանգեցնել տվյալների արտահանման կամ չարտոնված փոփոխությունների:
Ամբողջ research-ը
34 articles
Կոդի հեռակա կատարում SPIP-ում կաղապարի պիտակների միջոցով (CVE-2016-7998)
SPIP 3.1.2 և ավելի վաղ տարբերակները պարունակում են խոցելիություն կաղապարի կոմպոզիտորում: Հավաստագրված հարձակվողները կարող են վերբեռնել HTML ֆայլեր մշակված INCLUDE կամ INCLURE թեգերով՝ կամայական PHP կոդը սերվերի վրա գործարկելու համար:
ZoneMinder Apache-ի կազմաձևման տեղեկատվության բացահայտում (CVE-2016-10140)
ZoneMinder 1.29 և 1.30 տարբերակները ազդում են փաթեթավորված Apache HTTP սերվերի սխալ կազմաձևումից: Այս թերությունը թույլ է տալիս հեռավոր, չհաստատված հարձակվողներին զննել վեբ արմատային գրացուցակը, ինչը կարող է հանգեցնել զգայուն տեղեկատվության բացահայտման և իսկությունը շրջանցելու:
Next.js Անվտանգության վերնագրի սխալ կազմաձևումը next.config.js-ում
Next.js հավելվածները, որոնք օգտագործում են next.config.js-ը վերնագրերի կառավարման համար, ենթակա են անվտանգության բացերի, եթե ուղու համընկնող օրինաչափությունները ճշգրիտ չեն: Այս հետազոտությունն ուսումնասիրում է, թե ինչպես են նիշերի և ռեգեքսի սխալ կազմաձևումները հանգեցնում զգայուն երթուղիների անվտանգության վերնագրերի բացակայմանը և ինչպես խստացնել կոնֆիգուրացիան:
Անվտանգության վերնագրի անբավարար կազմաձևում
Վեբ հավելվածները հաճախ չեն կարողանում կիրառել անվտանգության հիմնական վերնագրերը, ինչի հետևանքով օգտվողները ենթարկվում են միջկայքի սկրիպտավորման (XSS), սեղմակավորման և տվյալների ներարկման: Հետևելով վեբ անվտանգության հաստատված ուղեցույցներին և օգտագործելով աուդիտորական գործիքներ, ինչպիսիք են MDN աստղադիտարանը, ծրագրավորողները կարող են զգալիորեն խստացնել իրենց հավելվածները բրաուզերի վրա հիմնված սովորական հարձակումների դեմ:
Մեղմացնելով OWASP 10 լավագույն ռիսկերը արագ վեբ մշակման մեջ
Ինդի հաքերները և փոքր թիմերը հաճախ բախվում են անվտանգության եզակի մարտահրավերների՝ արագ առաքելիս, հատկապես AI-ի կողմից ստեղծված կոդով: Այս հետազոտությունը ընդգծում է CWE լավագույն 25 և OWASP կատեգորիաների կրկնվող ռիսկերը, ներառյալ կոտրված մուտքի կառավարումը և անապահով կոնֆիգուրացիաները, որոնք հիմք են ստեղծում անվտանգության ավտոմատացված ստուգումների համար:
Անապահով HTTP վերնագրի կազմաձևումներ AI-ի կողմից ստեղծված հավելվածներում
AI օգնականների կողմից ստեղծված հավելվածներում հաճախ բացակայում են HTTP անվտանգության հիմնական վերնագրերը՝ չհամապատասխանելով անվտանգության ժամանակակից չափանիշներին: Այս բացթողումը վեբ հավելվածները խոցելի է դարձնում հաճախորդի կողմից սովորական հարձակումների նկատմամբ: Օգտագործելով հենանիշեր, ինչպիսին է Mozilla HTTP աստղադիտարանը, մշակողները կարող են բացահայտել բացակայող պաշտպանությունները, ինչպիսիք են CSP և HSTS՝ բարելավելու իրենց հավելվածի անվտանգության դիրքը:
Հայտնաբերել և կանխել միջկայքային սցենարների (XSS) խոցելիությունները
Cross-site Scripting (XSS) տեղի է ունենում, երբ հավելվածը ներառում է անվստահելի տվյալներ վեբ էջում՝ առանց համապատասխան վավերացման կամ կոդավորման: Սա թույլ է տալիս հարձակվողներին տուժողի բրաուզերում կատարել վնասակար սկրիպտներ, ինչը հանգեցնում է նստաշրջանի առևանգման, չարտոնված գործողությունների և զգայուն տվյալների բացահայտմանը:
LiteLLM պրոքսի SQL ներարկում (CVE-2026-42208)
SQL ներարկման կարևոր խոցելիությունը (CVE-2026-42208) LiteLLM-ի վստահված անձի բաղադրիչում հարձակվողներին թույլ է տալիս շրջանցել նույնականացումը կամ մուտք գործել տվյալների բազայի զգայուն տեղեկատվություն՝ օգտագործելով API բանալիների ստուգման գործընթացը:
Vibe կոդավորման անվտանգության ռիսկերը. Աուդիտ AI-ի կողմից ստեղծված ծածկագիրը
«Վիբի կոդավորման» աճը՝ հավելվածների ստեղծումը հիմնականում արագ AI հուշումների միջոցով, ներկայացնում է այնպիսի ռիսկեր, ինչպիսիք են կոշտ կոդավորված հավատարմագրերը և անապահով կոդերի օրինաչափությունները: Քանի որ AI մոդելները կարող են առաջարկել կոդ՝ հիմնված ուսուցման տվյալների վրա, որոնք պարունակում են խոցելիություն, դրանց արդյունքը պետք է դիտարկվի որպես անվստահելի և ստուգվի՝ օգտագործելով ավտոմատ սկանավորման գործիքներ՝ տվյալների բացահայտումը կանխելու համար:
JWT Անվտանգություն. չապահովված նշանների ռիսկեր և բացակայող պահանջի վավերացում
JSON Web Tokens-ը (JWT) ապահովում է պահանջների փոխանցման ստանդարտ, սակայն անվտանգությունը հիմնված է խիստ վավերացման վրա: Ստորագրությունները, ժամկետի ավարտի ժամկետները կամ նախատեսված լսարանները չստուգելը թույլ է տալիս հարձակվողներին շրջանցել նույնականացումը կամ վերարտադրել նշանները:
Ապահովելով Vercel տեղակայումները. պաշտպանության և վերնագրի լավագույն փորձը
Այս հետազոտությունն ուսումնասիրում է անվտանգության կոնֆիգուրացիաները Vercel-ում տեղակայված հավելվածների համար՝ կենտրոնանալով տեղակայման պաշտպանության և հատուկ HTTP վերնագրերի վրա: Այն բացատրում է, թե ինչպես են այս հատկանիշները պաշտպանում նախադիտման միջավայրերը և կիրառում դիտարկիչի կողմից անվտանգության քաղաքականությունը՝ կանխելու չարտոնված մուտքը և սովորական վեբ հարձակումները:
Կրիտիկական OS-ի հրամանի ներարկում LibreNMS-ում (CVE-2024-51092)
LibreNMS-ի մինչև 24.9.1 տարբերակները պարունակում են OS-ի ներարկման հրամանի կարևոր խոցելիություն (CVE-2024-51092): Վավերացված հարձակվողները կարող են կամայական հրամաններ կատարել հյուրընկալող համակարգում, ինչը կարող է հանգեցնել մոնիտորինգի ենթակառուցվածքի ամբողջական վտանգի:
LiteLLM SQL ներարկում վստահված անձի մեջ API բանալի հաստատում (CVE-2026-42208)
LiteLLM 1.81.16-ից մինչև 1.83.6 տարբերակները պարունակում են SQL ներարկման կարևոր խոցելիություն Proxy API բանալիների ստուգման տրամաբանության մեջ: Այս թերությունը թույլ է տալիս չհաստատված հարձակվողներին շրջանցել նույնականացման հսկողությունը կամ մուտք գործել հիմքում ընկած տվյալների բազա: Խնդիրը լուծված է 1.83.7 տարբերակում։
Firebase Անվտանգության կանոններ. Չարտոնված տվյալների բացահայտման կանխարգելում
Firebase Անվտանգության կանոնները առանց սերվերի հավելվածների հիմնական պաշտպանությունն են, որոնք օգտագործում են Firestore և Cloud Storage: Երբ այս կանոնները չափազանց թույլատրելի են, օրինակ՝ թույլ տալով գլոբալ կարդալու կամ գրելու հասանելիությունը արտադրության մեջ, հարձակվողները կարող են շրջանցել նախատեսված կիրառական տրամաբանությունը՝ գողանալու կամ ջնջելու զգայուն տվյալները: Այս հետազոտությունը ուսումնասիրում է սովորական սխալ կազմաձևումները, «փորձարկման ռեժիմի» լռելյայն ռիսկերը և ինչպես իրականացնել ինքնության վրա հիմնված մուտքի վերահսկում:
CSRF պաշտպանություն. պաշտպանություն չարտոնված պետական փոփոխություններից
Cross-Site Request Forgery-ը (CSRF) մնում է էական սպառնալիք վեբ հավելվածների համար: Այս հետազոտությունը ուսումնասիրում է, թե ինչպես են ժամանակակից շրջանակները, ինչպիսին Django-ն է, իրականացնում պաշտպանություն և ինչպես են զննարկիչի մակարդակի ատրիբուտները, ինչպիսին SameSite-ն է, խորը պաշտպանություն տրամադրում չարտոնված հարցումներից:
API Անվտանգության ստուգացանկ. 12 բան, որ պետք է ստուգել ուղիղ եթերից առաջ
API-ները ժամանակակից վեբ հավելվածների հիմքն են, սակայն հաճախ բացակայում են ավանդական առջևի անվտանգության խստությունը: Այս հետազոտական հոդվածը ուրվագծում է API-ների ապահովման համար անհրաժեշտ ստուգաթերթը՝ կենտրոնանալով մուտքի վերահսկման, տոկոսադրույքի սահմանափակման և խաչաձեւ ծագման ռեսուրսների փոխանակման վրա (CORS)՝ կանխելու տվյալների խախտումները և ծառայությունների չարաշահումը:
API Հիմնական արտահոսք. ռիսկեր և վերականգնում ժամանակակից վեբ հավելվածներում
Կոշտ կոդավորված գաղտնիքները ճակատային կոդի կամ պահեստի պատմության մեջ թույլ են տալիս հարձակվողներին անձնավորել ծառայությունները, մուտք գործել մասնավոր տվյալներ և կրել ծախսեր: Այս հոդվածը ներառում է գաղտնի արտահոսքի ռիսկերը և մաքրման և կանխարգելման համար անհրաժեշտ քայլերը:
CORS Սխալ կազմաձևում. Չափազանց թույլատրելի քաղաքականության ռիսկերը
Cross-Origin Resource Sharing (CORS) բրաուզերի մեխանիզմ է, որը նախատեսված է նույն ծագման քաղաքականությանը (SOP) հանգստացնելու համար: Թեև անհրաժեշտ է ժամանակակից վեբ հավելվածների համար, սխալ իրականացումը, օրինակ՝ կրկնելով հայցողի ծագման վերնագիրը կամ «զրոյական» սկզբնաղբյուրի սպիտակ ցուցակում ներառելը, կարող է թույլ տալ վնասակար կայքերին գաղտնազերծել օգտատերերի անձնական տվյալները:
MVP-ի ապահովում. տվյալների արտահոսքի կանխում AI-ի կողմից ստեղծված SaaS հավելվածներում
Արագ զարգացած SaaS հավելվածները հաճախ տուժում են անվտանգության կարևոր վերահսկողությունից: Այս հետազոտությունն ուսումնասիրում է, թե ինչպես են արտահոսած գաղտնիքները և կոտրված մուտքի հսկիչները, ինչպիսիք են բացակայող տողերի մակարդակի անվտանգությունը (RLS), մեծ ազդեցություն ունեցող խոցելիություններ են ստեղծում ժամանակակից վեբ կույտերում: