// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
Ghost мазмұндағы SQL инъекциясы API (CVE-2026-26980)
Ghost 3.24.0 және 6.19.0 нұсқаларында API мазмұнындағы маңызды SQL инъекция осалдығы бар. Бұл аутентификацияланбаған шабуылдаушыларға ерікті SQL пәрмендерін орындауға мүмкіндік береді, бұл деректер эксфильтрациясына немесе рұқсат етілмеген өзгертулерге әкелуі мүмкін.
Барлық research
34 articles
Үлгі тегтері (CVE-2016-7998) арқылы SPIP жүйесінде қашықтан кодты орындау
SPIP 3.1.2 және одан бұрынғы нұсқаларында үлгі құрастырушыда осалдық бар. Аутентификацияланған шабуылдаушылар серверде еркін PHP кодын орындау үшін жасалған INCLUDE немесе INCLURE тегтері бар HTML файлдарын жүктей алады.
ZoneMinder Apache конфигурациясының ақпаратын ашу (CVE-2016-10140)
ZoneMinder 1.29 және 1.30 нұсқаларына жинақталған Apache HTTP серверінің қате конфигурациясы әсер етеді. Бұл ақау қашықтағы, аутентификацияланбаған шабуылдаушыларға веб-түбірлік каталогты шолуға мүмкіндік береді, бұл құпия ақпаратты ашуға және аутентификацияны айналып өтуге әкелуі мүмкін.
Next.js Қауіпсіздік тақырыбының қате конфигурациясы next.config.js
Тақырыпты басқаруға арналған next.config.js пайдаланатын Next.js қолданбалары жолды сәйкестендіру үлгілері дәл болмаса, қауіпсіздік саңылауларына сезімтал. Бұл зерттеу қойылмалы таңба және regex қате конфигурацияларының сезімтал бағыттардағы қауіпсіздік тақырыптарының болмауына әкелетінін және конфигурацияны қатайту жолын зерттейді.
Қауіпсіздік тақырыбының конфигурациясы жеткіліксіз
Веб-қолданбалар жиі маңызды қауіпсіздік тақырыптарын орындай алмайды, бұл пайдаланушыларды тораптар аралық сценарийлерге (XSS), басуға және деректерді енгізуге ұшыратады. Белгіленген веб-қауіпсіздік нұсқауларын орындау және MDN обсерваториясы сияқты аудит құралдарын пайдалану арқылы әзірлеушілер браузерге негізделген жалпы шабуылдарға қарсы қолданбаларын айтарлықтай күшейте алады.
OWASP Жедел веб-әзірлеудегі негізгі 10 тәуекелді азайту
Инди-хакерлер мен шағын командалар жылдам жөнелту кезінде, әсіресе AI арқылы жасалған кодпен жиі қауіпсіздіктің бірегей қиындықтарына тап болады. Бұл зерттеу CWE Top 25 және OWASP санаттарынан қайталанатын тәуекелдерді, соның ішінде бұзылған кіруді басқаруды және қауіпсіз емес конфигурацияларды көрсетеді, бұл автоматтандырылған қауіпсіздік тексерулері үшін негіз береді.
AI жасаған қолданбалардағы қауіпті HTTP тақырыбы конфигурациялары
AI көмекшілері жасаған қолданбаларда заманауи қауіпсіздік стандарттарына сәйкес келмейтін маңызды HTTP қауіпсіздік тақырыптары жиі болмайды. Бұл олқылық веб-қосымшаларды жалпы клиенттік шабуылдарға осал етеді. Mozilla HTTP обсерваториясы сияқты эталондарды пайдалану арқылы әзірлеушілер қолданбасының қауіпсіздік жағдайын жақсарту үшін CSP және HSTS сияқты жетіспейтін қорғаныстарды анықтай алады.
Сайтаралық сценарийлерді анықтау және алдын алу (XSS) осалдықтары
Сайтаралық сценарий (XSS) қолданба дұрыс тексерусіз немесе кодтаусыз веб-бетте сенімсіз деректерді қосқанда орын алады. Бұл шабуылдаушыларға жәбірленушінің браузерінде зиянды сценарийлерді орындауға мүмкіндік береді, бұл сеансты ұрлауға, рұқсат етілмеген әрекеттерге және құпия деректердің ашылуына әкеледі.
LiteLLM прокси SQL инъекциясы (CVE-2026-42208)
LiteLLM прокси құрамдасындағы маңызды SQL инъекция осалдығы (CVE-2026-42208) шабуылдаушыларға API кілтін тексеру процесін пайдалану арқылы аутентификацияны айналып өтуге немесе құпия дерекқор ақпаратына қол жеткізуге мүмкіндік береді.
Vibe кодтауының қауіпсіздік тәуекелдері: AI жасаған кодты тексеру
«Діріл кодтаудың» өсуі — бірінші кезекте жылдам AI шақыру арқылы қолданбаларды құру — қатты кодталған тіркелгі деректері және қауіпті код үлгілері сияқты тәуекелдерді енгізеді. AI үлгілері осалдықтары бар оқыту деректеріне негізделген кодты ұсына алатындықтан, олардың шығысы сенімсіз деп есептелуі және деректердің әсерін болдырмау үшін автоматтандырылған сканерлеу құралдары арқылы тексерілуі керек.
JWT Қауіпсіздік: қамтамасыз етілмеген таңбалауыштардың тәуекелдері және шағымды тексерудің жоқтығы
JSON Web Tokens (JWTs) шағымдарды тасымалдауға арналған стандартты қамтамасыз етеді, бірақ қауіпсіздік қатаң тексеруге сүйенеді. Қолтаңбаларды, жарамдылық мерзімін немесе жоспарланған аудиторияны растамау шабуылдаушыларға аутентификацияны айналып өтуге немесе белгілерді қайта ойнатуға мүмкіндік береді.
Vercel орналастыруларды қорғау: қорғау және тақырыптың ең жақсы тәжірибелері
Бұл зерттеу Vercel орналастырылған қолданбаларға арналған қауіпсіздік конфигурацияларын зерттеп, Орналастыруды қорғауға және реттелетін HTTP тақырыптарына назар аударады. Бұл мүмкіндіктердің алдын ала қарау орталарын қалай қорғайтынын және рұқсатсыз кіруді және жалпы веб-шабуылдарды болдырмау үшін браузерлік қауіпсіздік саясаттарын қалай қолданатынын түсіндіреді.
LibreNMS (CVE-2024-51092) жүйесіндегі критикалық ОЖ пәрменін енгізу
24.9.1 дейінгі LibreNMS нұсқаларында ОЖ командалық инъекциясының маңызды осалдығы (CVE-2024-51092) бар. Түпнұсқалығы расталған шабуылдаушылар хост жүйесінде ерікті пәрмендерді орындай алады, бұл бақылау инфрақұрылымының толық бұзылуына әкелуі мүмкін.
API проксидегі LiteLLM SQL инъекциясы кілтті тексеру (CVE-2026-42208)
LiteLLM 1.81.16 мен 1.83.6 нұсқаларында API прокси кілтін тексеру логикасында маңызды SQL инъекция осалдығы бар. Бұл ақау аутентификацияланбаған шабуылдаушыларға аутентификацияны басқару элементтерін айналып өтуге немесе негізгі дерекқорға кіруге мүмкіндік береді. Мәселе 1.83.7 нұсқасында шешілген.
Firebase Қауіпсіздік ережелері: Рұқсат етілмеген деректердің әсер етуінің алдын алу
Firebase қауіпсіздік ережелері Firestore және Cloud Storage пайдаланатын серверсіз қолданбалар үшін негізгі қорғаныс болып табылады. Бұл ережелер өндірісте жаһандық оқу немесе жазу рұқсаты сияқты тым рұқсат етілген кезде, шабуылдаушылар құпия деректерді ұрлау немесе жою үшін арналған қолданба логикасын айналып өте алады. Бұл зерттеу жалпы қате конфигурацияларды, «сынақ режимінің» әдепкі мәндерінің тәуекелдерін және сәйкестікке негізделген қатынасты басқаруды қалай жүзеге асыру керектігін зерттейді.
CSRF қорғанысы: рұқсат етілмеген мемлекеттік өзгерістерден қорғау
Сайтаралық сұрауды қолдан жасау (CSRF) веб-қосымшалар үшін маңызды қауіп болып қала береді. Бұл зерттеу Django сияқты заманауи құрылымдардың қорғауды қалай жүзеге асыратынын және SameSite сияқты браузер деңгейіндегі атрибуттардың рұқсат етілмеген сұраулардан қорғауды қалай қамтамасыз ететінін зерттейді.
API Қауіпсіздікті тексеру тізімі: Тікелей эфирге шығу алдында тексеру керек 12 нәрсе
API интерфейстері заманауи веб-қосымшалардың негізі болып табылады, бірақ көбінесе дәстүрлі фронтендтердің қауіпсіздік қатаңдығы жоқ. Бұл зерттеу мақаласында деректердің бұзылуы мен қызметті теріс пайдаланудың алдын алу үшін кіруді басқаруға, жылдамдықты шектеуге және бастапқы ресурстарды ортақ пайдалануға (CORS) назар аудара отырып, API қауіпсіздігін қамтамасыз ету үшін маңызды бақылау тізімі берілген.
API Негізгі ағып кету: қазіргі веб-бағдарламалардағы тәуекелдер мен түзетулер
Фронт кодындағы немесе репозиторий тарихындағы қатаң кодталған құпиялар шабуылдаушыларға қызметтерді еліктендіруге, жеке деректерге қол жеткізуге және шығындарды көтеруге мүмкіндік береді. Бұл мақала құпия ағып кету қаупін және тазалау және алдын алу үшін қажетті қадамдарды қамтиды.
CORS Қате конфигурация: тым рұқсат беретін саясаттардың тәуекелдері
Түпнұсқалар арасындағы ресурстарды ортақ пайдалану (CORS) – бір шығу тегі саясатын (SOP) жеңілдетуге арналған шолғыш механизмі. Заманауи веб-қолданбалар үшін қажет болғанымен, сұраушының Түпнұсқа тақырыбын қайталау немесе «нөлдік» бастапқы деректі ақ тізімге енгізу сияқты дұрыс емес енгізу зиянды сайттарға жеке пайдаланушы деректерін эксфильтрациялауға мүмкіндік береді.
MVP қорғау: AI жасаған SaaS қолданбаларында деректердің ағып кетуін болдырмау
Жылдам әзірленген SaaS қолданбалары қауіпсіздіктің маңызды қателерінен жиі зардап шегеді. Бұл зерттеу ашылмаған құпиялар мен бұзылған қатынасты басқару элементтері, мысалы, жол деңгейінің қауіпсіздігі (RLS) қазіргі веб стектерде жоғары әсер ететін осалдықтарды қалай жасайтынын зерттейді.