// ricerca sulle vulnerabilità
Ricerca sulle vulnerabilità per siti e app costruiti con l'IA.
Note basate su fonti riguardo a vulnerabilità rilevanti per app web generate dall'IA, stack BaaS, bundle frontend, autenticazione e sicurezza delle dipendenze.
Iniezione SQL nel contenuto fantasma API (CVE-2026-26980)
Le versioni Ghost dalla 3.24.0 alla 6.19.0 contengono una vulnerabilità critica di tipo SQL injection nel contenuto API. Ciò consente agli aggressori non autenticati di eseguire comandi SQL arbitrari, portando potenzialmente all'esfiltrazione di dati o a modifiche non autorizzate.
Tutta la ricerca
34 articoli
Esecuzione del codice remoto in SPIP tramite tag modello (CVE-2016-7998)
Le versioni SPIP 3.1.2 e precedenti contengono una vulnerabilità nel compositore dei modelli. Gli aggressori autenticati possono caricare file HTML con tag INCLUDE o INCLURE predisposti per eseguire codice PHP arbitrario sul server.
Divulgazione delle informazioni sulla configurazione di ZoneMinder Apache (CVE-2016-10140)
Le versioni ZoneMinder 1.29 e 1.30 sono interessate da un'errata configurazione del server HTTP Apache in bundle. Questo difetto consente agli aggressori remoti e non autenticati di esplorare la directory principale del Web, portando potenzialmente alla divulgazione di informazioni sensibili e al bypass dell'autenticazione.
Next.js Configurazione errata dell'intestazione di sicurezza in next.config.js
Le applicazioni Next.js che utilizzano next.config.js per la gestione delle intestazioni sono soggette a lacune di sicurezza se i modelli di corrispondenza del percorso sono imprecisi. Questa ricerca esplora il modo in cui le configurazioni errate di caratteri jolly e regex portano alla mancanza di intestazioni di sicurezza su percorsi sensibili e come rafforzare la configurazione.
Configurazione dell'intestazione di sicurezza inadeguata
Le applicazioni Web spesso non riescono a implementare intestazioni di sicurezza essenziali, lasciando gli utenti esposti a cross-site scripting (XSS), clickjacking e data injection. Seguendo le linee guida stabilite per la sicurezza web e utilizzando strumenti di controllo come l'Osservatorio MDN, gli sviluppatori possono rafforzare in modo significativo le proprie applicazioni contro i comuni attacchi basati su browser.
Mitigare OWASP I 10 principali rischi nello sviluppo web rapido
Gli hacker indipendenti e i piccoli team spesso affrontano sfide di sicurezza uniche durante le spedizioni veloci, in particolare con il codice generato da AI. Questa ricerca evidenzia i rischi ricorrenti delle categorie CWE Top 25 e OWASP, inclusi controlli di accesso interrotti e configurazioni non sicure, fornendo una base per controlli di sicurezza automatizzati.
Configurazioni di intestazioni HTTP non sicure nelle applicazioni generate da AI
Le applicazioni generate dagli assistenti AI spesso mancano di intestazioni di sicurezza HTTP essenziali, non riuscendo a soddisfare i moderni standard di sicurezza. Questa omissione lascia le applicazioni web vulnerabili ai comuni attacchi lato client. Utilizzando benchmark come l'Osservatorio HTTP di Mozilla, gli sviluppatori possono identificare le protezioni mancanti come CSP e HSTS per migliorare il livello di sicurezza della propria applicazione.
Rilevamento e prevenzione delle vulnerabilità di cross-site scripting (XSS)
Cross-Site Scripting (XSS) si verifica quando un'applicazione include dati non attendibili in una pagina Web senza un'adeguata convalida o codifica. Ciò consente agli aggressori di eseguire script dannosi nel browser della vittima, portando al dirottamento della sessione, azioni non autorizzate ed esposizione di dati sensibili.
Iniezione SQL proxy LiteLLM (CVE-2026-42208)
Una vulnerabilità critica di tipo SQL injection (CVE-2026-42208) nel componente proxy di LiteLLM consente agli aggressori di aggirare l'autenticazione o accedere a informazioni sensibili del database sfruttando il processo di verifica della chiave API.
Rischi per la sicurezza della codifica Vibe: controllo del codice generato da AI
L'aumento del "vibe coding", ovvero la creazione di applicazioni principalmente tramite prompt AI rapidi, introduce rischi come credenziali hardcoded e modelli di codice non sicuri. Poiché i modelli AI possono suggerire codice basato su dati di addestramento contenenti vulnerabilità, il loro output deve essere trattato come non attendibile e controllato utilizzando strumenti di scansione automatizzati per prevenire l'esposizione dei dati.
JWT Sicurezza: rischi di token non garantiti e mancata convalida delle attestazioni
I token Web JSON (JWT) forniscono uno standard per il trasferimento delle attestazioni, ma la sicurezza si basa su una convalida rigorosa. La mancata verifica delle firme, dei tempi di scadenza o dei destinatari previsti consente agli aggressori di ignorare l'autenticazione o i token di riproduzione.
Protezione delle distribuzioni Vercel: best practice per la protezione e l'intestazione
Questa ricerca esplora le configurazioni di sicurezza per le applicazioni ospitate su Vercel, concentrandosi sulla protezione della distribuzione e sulle intestazioni HTTP personalizzate. Spiega come queste funzionalità proteggono gli ambienti di anteprima e applicano policy di sicurezza lato browser per prevenire accessi non autorizzati e attacchi web comuni.
Iniezione di comandi critici del sistema operativo in LibreNMS (CVE-2024-51092)
Le versioni di LibreNMS fino alla 24.9.1 contengono una vulnerabilità critica di command injection del sistema operativo (CVE-2024-51092). Gli aggressori autenticati possono eseguire comandi arbitrari sul sistema host, portando potenzialmente alla compromissione totale dell'infrastruttura di monitoraggio.
Iniezione SQL LiteLLM nel proxy API Verifica della chiave (CVE-2026-42208)
Le versioni LiteLLM da 1.81.16 a 1.83.6 contengono una vulnerabilità critica di tipo SQL injection nella logica di verifica della chiave proxy API. Questo difetto consente agli aggressori non autenticati di aggirare i controlli di autenticazione o accedere al database sottostante. Il problema è stato risolto nella versione 1.83.7.
Firebase Regole di sicurezza: prevenzione dell'esposizione non autorizzata dei dati
Firebase Le regole di sicurezza rappresentano la difesa principale per le applicazioni serverless che utilizzano Firestore e Cloud Storage. Quando queste regole sono troppo permissive, ad esempio consentendo l’accesso globale in lettura o scrittura in produzione, gli aggressori possono aggirare la logica dell’applicazione prevista per rubare o eliminare dati sensibili. Questa ricerca esplora le configurazioni errate comuni, i rischi delle impostazioni predefinite della "modalità test" e come implementare il controllo degli accessi basato sull'identità.
Protezione CSRF: difesa dai cambiamenti di stato non autorizzati
Il Cross-Site Request Forgery (CSRF) rimane una minaccia significativa per le applicazioni web. Questa ricerca esplora il modo in cui framework moderni come Django implementano la protezione e il modo in cui attributi a livello di browser come SameSite forniscono una difesa approfondita contro le richieste non autorizzate.
API Lista di controllo per la sicurezza: 12 cose da controllare prima di andare in diretta
Le API sono la spina dorsale delle moderne applicazioni web, ma spesso non hanno il rigore in termini di sicurezza dei frontend tradizionali. Questo articolo di ricerca delinea un elenco di controllo essenziale per proteggere le API, concentrandosi su controllo degli accessi, limitazione della velocità e condivisione di risorse multiorigine (CORS) per prevenire violazioni dei dati e abusi dei servizi.
API Perdita chiave: rischi e soluzioni nelle moderne app Web
I segreti hardcoded nel codice frontend o nella cronologia del repository consentono agli aggressori di impersonare servizi, accedere a dati privati e sostenere costi. Questo articolo tratta i rischi di fughe di informazioni segrete e le misure necessarie per la pulizia e la prevenzione.
CORS Configurazione errata: rischi di policy eccessivamente permissive
La condivisione delle risorse tra origini (CORS) è un meccanismo del browser progettato per allentare la politica della stessa origine (SOP). Sebbene necessaria per le moderne app Web, un'implementazione impropria, come l'eco dell'intestazione Origin del richiedente o l'inserimento nella whitelist dell'origine "null", può consentire ai siti dannosi di esfiltrare i dati privati degli utenti.
Protezione dell'MVP: prevenzione delle fughe di dati nelle app SaaS generate da AI
Le applicazioni SaaS sviluppate rapidamente spesso soffrono di critiche critiche in termini di sicurezza. Questa ricerca esplora il modo in cui i segreti trapelati e i controlli di accesso non funzionanti, come la mancanza di sicurezza a livello di riga (RLS), creano vulnerabilità ad alto impatto nei moderni stack web.