// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
ការចាក់ SQL នៅក្នុងមាតិកាខ្មោច API (CVE-2026-26980)
ZXCVFIXVIBESEG ២ កំណែ Ghost 3.24.0 ដល់ 6.19.0 មានចំណុចខ្សោយ SQL injection ដ៏សំខាន់នៅក្នុងមាតិកា API ។ នេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមិនមានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវអាចប្រតិបត្តិពាក្យបញ្ជា SQL បំពាន ដែលអាចនាំទៅដល់ការទាញយកទិន្នន័យ ឬការកែប្រែដែលគ្មានការអនុញ្ញាត។
ការស្រាវជ្រាវទាំងអស់
34 articles
ការប្រតិបត្តិលេខកូដពីចម្ងាយនៅក្នុង SPIP តាមរយៈស្លាកគំរូ (CVE-2016-7998)
ZXCVFIXVIBESEG ២ កំណែ SPIP 3.1.2 និងមុននេះមានចំនុចខ្សោយនៅក្នុងកម្មវិធីតែងគំរូ។ អ្នកវាយប្រហារដែលបានផ្ទៀងផ្ទាត់អាចផ្ទុកឡើងឯកសារ HTML ដោយប្រើស្លាក INCLUDE ឬ INCLURE ដែលបង្កើតដើម្បីប្រតិបត្តិកូដ PHP បំពានលើម៉ាស៊ីនមេ។
ការបង្ហាញព័ត៌មានអំពីការកំណត់រចនាសម្ព័ន្ធ ZoneMinder Apache (CVE-2016-10140)
ZXCVFIXVIBESEG ២ កំណែ ZoneMinder 1.29 និង 1.30 ត្រូវបានរងផលប៉ះពាល់ដោយកញ្ចប់ Apache HTTP Server មិនត្រឹមត្រូវ។ គុណវិបត្តិនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយ និងមិនមានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវអាចរកមើលថតឫសគេហទំព័រ ដែលអាចនាំឱ្យមានការបង្ហាញព័ត៌មានរសើប និងការឆ្លងកាត់ការផ្ទៀងផ្ទាត់។
Next.js ការកំណត់រចនាសម្ព័ន្ធបឋមកថាមិនត្រឹមត្រូវនៅក្នុង next.config.js
ZXCVFIXVIBESEG ២ កម្មវិធី Next.js ដោយប្រើ next.config.js សម្រាប់ការគ្រប់គ្រងបឋមកថា ងាយនឹងមានគម្លាតសុវត្ថិភាព ប្រសិនបើលំនាំផ្គូផ្គងផ្លូវមិនច្បាស់លាស់។ ការស្រាវជ្រាវនេះស្វែងយល់ពីរបៀបដែលការកំណត់រចនាសម្ព័ន្ធអក្សរជំនួស និង regex ខុសនាំឱ្យបាត់ក្បាលសុវត្ថិភាពនៅលើផ្លូវរសើប និងរបៀបធ្វើឱ្យការកំណត់រចនាសម្ព័ន្ធរឹង។
ការកំណត់រចនាសម្ព័ន្ធបឋមកថាសុវត្ថិភាពមិនគ្រប់គ្រាន់
ZXCVFIXVIBESEG ២ កម្មវិធីគេហទំព័រជារឿយៗបរាជ័យក្នុងការអនុវត្តបឋមកថាសុវត្ថិភាពសំខាន់ៗ ដែលធ្វើឱ្យអ្នកប្រើប្រាស់ប្រឈមនឹងការស្គ្រីបឆ្លងគេហទំព័រ (XSS) ការចុច Jack និងការចាក់ទិន្នន័យ។ ដោយអនុវត្តតាមគោលការណ៍ណែនាំសុវត្ថិភាពគេហទំព័រដែលបានបង្កើតឡើង និងប្រើប្រាស់ឧបករណ៍សវនកម្មដូចជា MDN Observatory អ្នកអភិវឌ្ឍន៍អាចពង្រឹងកម្មវិធីរបស់ពួកគេយ៉ាងខ្លាំងប្រឆាំងនឹងការវាយប្រហារផ្អែកលើកម្មវិធីរុករកធម្មតា។
ការកាត់បន្ថយ OWASP ហានិភ័យកំពូលទាំង 10 ក្នុងការអភិវឌ្ឍន៍គេហទំព័ររហ័ស
ZXCVFIXVIBESEG ២ ក្រុមហេគឃ័រ Indie និងក្រុមតូចៗតែងតែប្រឈមមុខនឹងបញ្ហាសុវត្ថិភាពពិសេសនៅពេលដឹកជញ្ជូនលឿន ជាពិសេសជាមួយនឹងកូដដែលបង្កើត AI ។ ការស្រាវជ្រាវនេះបង្ហាញពីហានិភ័យដែលកើតឡើងដដែលៗពីប្រភេទ CWE Top 25 និង OWASP រួមទាំងការគ្រប់គ្រងការចូលប្រើដែលខូច និងការកំណត់រចនាសម្ព័ន្ធអសន្តិសុខ ដែលផ្តល់មូលដ្ឋានគ្រឹះសម្រាប់ការត្រួតពិនិត្យសុវត្ថិភាពដោយស្វ័យប្រវត្តិ។
ការកំណត់រចនាសម្ព័ន្ធបឋមកថា HTTP មិនមានសុវត្ថិភាពនៅក្នុងកម្មវិធីដែលបានបង្កើត AI
ZXCVFIXVIBESEG ២ កម្មវិធីដែលបង្កើតដោយជំនួយការ AI ជារឿយៗខ្វះបឋមកថាសុវត្ថិភាព HTTP សំខាន់ៗ ដោយមិនបានបំពេញតាមស្តង់ដារសុវត្ថិភាពទំនើប។ ការលុបចោលនេះទុកឲ្យកម្មវិធីគេហទំព័រងាយរងការវាយប្រហារពីភាគីអតិថិជនទូទៅ។ តាមរយៈការប្រើប្រាស់ស្តង់ដារដូចជា Mozilla HTTP Observatory អ្នកអភិវឌ្ឍន៍អាចកំណត់អត្តសញ្ញាណការការពារដែលបាត់ដូចជា CSP និង HSTS ដើម្បីកែលម្អស្ថានភាពសុវត្ថិភាពរបស់កម្មវិធីរបស់ពួកគេ។
ការរកឃើញ និងការពារការសរសេរអត្ថបទឆ្លងគេហទំព័រ (XSS) ភាពងាយរងគ្រោះ
ZXCVFIXVIBESEG ២ Cross-Site Scripting (XSS) កើតឡើងនៅពេលដែលកម្មវិធីរួមបញ្ចូលទិន្នន័យដែលមិនគួរឱ្យទុកចិត្តនៅក្នុងទំព័របណ្តាញដោយមិនមានសុពលភាពត្រឹមត្រូវ ឬការអ៊ិនកូដ។ នេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារដំណើរការស្គ្រីបព្យាបាទនៅក្នុងកម្មវិធីរុករកតាមអ៊ីនធឺណិតរបស់ជនរងគ្រោះ ដែលនាំទៅដល់ការលួចចូលវេន សកម្មភាពដែលគ្មានការអនុញ្ញាត និងការប៉ះពាល់ទិន្នន័យរសើប។
LiteLLM ប្រូកស៊ី SQL Injection (CVE-2026-42208)
ZXCVFIXVIBESEG ២ ភាពងាយរងគ្រោះ SQL injection ដ៏សំខាន់ (CVE-2026-42208) នៅក្នុងសមាសធាតុប្រូកស៊ីរបស់ LiteLLM អនុញ្ញាតឱ្យអ្នកវាយប្រហារឆ្លងកាត់ការផ្ទៀងផ្ទាត់ ឬចូលប្រើព័ត៌មានមូលដ្ឋានទិន្នន័យរសើបដោយការទាញយកដំណើរការផ្ទៀងផ្ទាត់គន្លឹះ API ។
ហានិភ័យសុវត្ថិភាពនៃការសរសេរកូដ Vibe៖ សវនកម្ម AI-បង្កើតកូដ
ZXCVFIXVIBESEG ២ ការកើនឡើងនៃ 'ការសរសេរកូដ vibe'—ការកសាងកម្មវិធីជាចម្បងតាមរយៈការជម្រុញ AI យ៉ាងឆាប់រហ័ស—បង្ហាញពីហានិភ័យដូចជាលិខិតសម្គាល់រឹង និងលំនាំកូដមិនមានសុវត្ថិភាព។ ដោយសារតែម៉ូដែល AI អាចណែនាំកូដដោយផ្អែកលើទិន្នន័យបណ្តុះបណ្តាលដែលមានភាពងាយរងគ្រោះ លទ្ធផលរបស់ពួកគេត្រូវតែត្រូវបានចាត់ទុកថាមិនគួរឱ្យទុកចិត្ត និងធ្វើសវនកម្មដោយប្រើឧបករណ៍ស្កែនស្វ័យប្រវត្តិដើម្បីការពារការប៉ះពាល់ទិន្នន័យ។
សុវត្ថិភាព JWT៖ ហានិភ័យនៃសញ្ញាសម្ងាត់ដែលមិនមានសុវត្ថិភាព និងការបាត់សុពលភាពនៃការទាមទារ
ZXCVFIXVIBESEG ២ JSON Web Tokens (JWTs) ផ្តល់នូវស្តង់ដារសម្រាប់ការផ្ទេរការទាមទារ ប៉ុន្តែសុវត្ថិភាពពឹងផ្អែកលើការបញ្ជាក់យ៉ាងម៉ត់ចត់។ ការខកខានក្នុងការផ្ទៀងផ្ទាត់ហត្ថលេខា ពេលវេលាផុតកំណត់ ឬទស្សនិកជនដែលមានបំណងអនុញ្ញាតឱ្យអ្នកវាយប្រហាររំលងការផ្ទៀងផ្ទាត់ ឬចាក់ថូខឹនឡើងវិញ។
ការការពារការដាក់ពង្រាយ Vercel៖ ការការពារ និងការអនុវត្តល្អបំផុត
ZXCVFIXVIBESEG ២ ការស្រាវជ្រាវនេះរុករកការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាពសម្រាប់កម្មវិធី Vercel ដែលបង្ហោះដោយផ្តោតលើការការពារការដាក់ពង្រាយ និងបឋមកថា HTTP ផ្ទាល់ខ្លួន។ វាពន្យល់ពីរបៀបដែលលក្ខណៈពិសេសទាំងនេះការពារបរិស្ថានមើលជាមុន និងអនុវត្តគោលការណ៍សុវត្ថិភាពចំហៀងកម្មវិធីរុករកដើម្បីការពារការចូលប្រើដោយគ្មានការអនុញ្ញាត និងការវាយប្រហារតាមគេហទំព័រធម្មតា។
ការចាក់បញ្ចូលពាក្យបញ្ជាប្រព័ន្ធសំខាន់នៅក្នុង LibreNMS (CVE-2024-51092)
ZXCVFIXVIBESEG ២ កំណែ LibreNMS រហូតដល់ 24.9.1 មានចំណុចងាយរងគ្រោះក្នុងការចាក់បញ្ចូលពាក្យបញ្ជា OS (CVE-2024-51092) ។ អ្នកវាយប្រហារដែលបានផ្ទៀងផ្ទាត់អាចប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្តនៅលើប្រព័ន្ធម៉ាស៊ីន ដែលអាចនាំឱ្យមានការសម្របសម្រួលសរុបនៃហេដ្ឋារចនាសម្ព័ន្ធត្រួតពិនិត្យ។
LiteLLM SQL Injection ក្នុងប្រូកស៊ី API ការផ្ទៀងផ្ទាត់គន្លឹះ (CVE-2026-42208)
ZXCVFIXVIBESEG ២ LiteLLM កំណែ 1.81.16 ដល់ 1.83.6 មានភាពងាយរងគ្រោះក្នុងការចាក់ SQL សំខាន់ក្នុងតក្កវិជ្ជាផ្ទៀងផ្ទាត់គន្លឹះប្រូកស៊ី API ។ គុណវិបត្តិនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមិនមានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវអាចឆ្លងកាត់ការត្រួតពិនិត្យការផ្ទៀងផ្ទាត់ ឬចូលទៅកាន់មូលដ្ឋានទិន្នន័យមូលដ្ឋាន។ បញ្ហាត្រូវបានដោះស្រាយនៅក្នុងកំណែ 1.83.7 ។
ច្បាប់សុវត្ថិភាព Firebase៖ ការពារការលេចចេញទិន្នន័យដែលគ្មានការអនុញ្ញាត
ZXCVFIXVIBESEG ២ ច្បាប់សុវត្ថិភាព Firebase គឺជាការការពារចម្បងសម្រាប់កម្មវិធីដែលគ្មានម៉ាស៊ីនមេ ដោយប្រើ Firestore និង Cloud Storage ។ នៅពេលដែលច្បាប់ទាំងនេះមានការអនុញ្ញាតខ្លាំងពេក ដូចជាអនុញ្ញាតឱ្យចូលប្រើការអាន ឬសរសេរជាសកលនៅក្នុងការផលិត អ្នកវាយប្រហារអាចជៀសផុតពីតក្កវិជ្ជាកម្មវិធីដែលមានបំណងលួច ឬលុបទិន្នន័យរសើប។ ការស្រាវជ្រាវនេះស្វែងយល់ពីការកំណត់រចនាសម្ព័ន្ធខុសទូទៅ ហានិភ័យនៃលំនាំដើម 'របៀបសាកល្បង' និងរបៀបអនុវត្តការគ្រប់គ្រងការចូលប្រើប្រាស់ដោយផ្អែកលើអត្តសញ្ញាណ។
ការការពារ CSRF៖ ការការពារប្រឆាំងនឹងការផ្លាស់ប្តូររដ្ឋដែលគ្មានការអនុញ្ញាត
ZXCVFIXVIBESEG ២ Cross-Site Request Forgery (CSRF) នៅតែជាការគំរាមកំហែងយ៉ាងសំខាន់ចំពោះកម្មវិធីគេហទំព័រ។ ការស្រាវជ្រាវនេះស្វែងយល់ពីរបៀបដែលក្របខ័ណ្ឌទំនើបដូចជា Django អនុវត្តការការពារ និងរបៀបដែលគុណលក្ខណៈកម្រិតកម្មវិធីរុករកតាមអ៊ីនធឺណិតដូចជា SameSite ផ្តល់នូវការការពារយ៉ាងស៊ីជម្រៅប្រឆាំងនឹងសំណើដែលមិនមានការអនុញ្ញាត។
បញ្ជីត្រួតពិនិត្យសុវត្ថិភាព API: 12 ចំណុចដែលត្រូវពិនិត្យមុនពេលទៅបន្តផ្ទាល់
ZXCVFIXVIBESEG ២ APIs គឺជាឆ្អឹងខ្នងនៃកម្មវិធីបណ្តាញទំនើប ប៉ុន្តែជារឿយៗខ្វះភាពតឹងរ៉ឹងសុវត្ថិភាពនៃផ្នែកខាងមុខបែបប្រពៃណី។ អត្ថបទស្រាវជ្រាវនេះបង្ហាញអំពីបញ្ជីត្រួតពិនិត្យសំខាន់ៗសម្រាប់ការធានា APIs ដោយផ្តោតលើការគ្រប់គ្រងការចូលប្រើ ការកំណត់អត្រា និងការចែករំលែកធនធានឆ្លងដើម (CORS) ដើម្បីការពារការបំពានទិន្នន័យ និងការរំលោភបំពានសេវាកម្ម។
API ការលេចធ្លាយគន្លឹះ៖ ហានិភ័យ និងដំណោះស្រាយក្នុងកម្មវិធីបណ្តាញទំនើប
ZXCVFIXVIBESEG ២ អាថ៌កំបាំងដែលមានកូដរឹងនៅក្នុងកូដខាងមុខ ឬប្រវត្តិឃ្លាំងអនុញ្ញាតឱ្យអ្នកវាយប្រហារក្លែងបន្លំសេវាកម្ម ចូលប្រើទិន្នន័យឯកជន និងទទួលការចំណាយ។ អត្ថបទនេះគ្របដណ្តប់ហានិភ័យនៃការលេចធ្លាយសម្ងាត់ និងជំហានចាំបាច់សម្រាប់ការសម្អាត និងការការពារ។
CORS ការកំណត់មិនត្រឹមត្រូវ៖ ហានិភ័យនៃគោលការណ៍អនុញ្ញាតហួសហេតុ
ZXCVFIXVIBESEG ២ ការចែករំលែកធនធានឆ្លងប្រភពដើម (CORS) គឺជាយន្តការកម្មវិធីរុករកដែលត្រូវបានរចនាឡើងដើម្បីបន្ធូរបន្ថយគោលការណ៍ដើមកំណើតដូចគ្នា (SOP)។ ខណៈពេលដែលចាំបាច់សម្រាប់កម្មវិធីបណ្ដាញទំនើប ការអនុវត្តមិនត្រឹមត្រូវ—ដូចជាការបន្ទរបឋមកថាប្រភពដើមរបស់អ្នកស្នើសុំ ឬការដាក់បញ្ជីសនូវប្រភពដើម 'ទទេ' អាចអនុញ្ញាតឱ្យគេហទំព័រព្យាបាទទាញយកទិន្នន័យឯកជនរបស់អ្នកប្រើប្រាស់។
ការធានា MVP៖ ការពារការលេចធ្លាយទិន្នន័យនៅក្នុងកម្មវិធី AI-Generated SaaS
ZXCVFIXVIBESEG ២ កម្មវិធី SaaS ដែលបានអភិវឌ្ឍយ៉ាងឆាប់រហ័ស ជារឿយៗទទួលរងនូវការត្រួតពិនិត្យសុវត្ថិភាពសំខាន់ៗ។ ការស្រាវជ្រាវនេះស្វែងយល់ពីរបៀបដែលលេចធ្លាយអាថ៌កំបាំង និងការគ្រប់គ្រងការចូលប្រើដែលខូច ដូចជាបាត់ Row Level Security (RLS) បង្កើតភាពងាយរងគ្រោះដែលមានផលប៉ះពាល់ខ្ពស់នៅក្នុងបណ្តុំបណ្តាញទំនើប។