// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
Injection SQL di naveroka Ghost de API (CVE-2026-26980)
Guhertoyên Ghost 3.24.0 heya 6.19.0 di naverok API de qelsiyek derziya SQL ya krîtîk dihewîne. Ev rê dide êrişkerên nerastkirî ku emrên SQL-ya keyfî bicîh bînin, ku dibe sedema derxistina daneyan an guheztinên bêdestûr.
Hemû research
34 articles
Bicîhkirina Koda Dûr a di SPIP-ê de bi rêya Etîketên Şablon (CVE-2016-7998)
Guhertoyên SPIP 3.1.2 û berê di şablonê de qelsiyek heye. Êrîşkerên pejirandî dikarin pelên HTML-ê bi etîketên INCLUDE an INCLURE yên çêkirî bar bikin da ku koda PHP-ya keyfî li ser serverê bicîh bikin.
Daxuyaniya Agahdariya Vesazkirina ZoneMinder Apache (CVE-2016-10140)
Guhertoyên ZoneMinder 1.29 û 1.30 ji hêla mîhengek çewt a Pêşkêşkara HTTP ya Apache ve têne bandor kirin. Ev xeletî dihêle ku êrîşkerên dûr, nenaskirî li pelrêça root ya webê bigerin, potansiyel dibe sedema eşkerekirina agahdariya hesas û derbasbûna rastkirinê.
Next.js Sernivîsa Ewlekariyê ya çewt li next.config.js
Serlêdanên Next.js yên ku next.config.js-ê ji bo rêveberiya sernavê bikar tînin, ji valahiyên ewlehiyê re gumanbar in heke şêwazên lihevhatina rê nerast bin. Vê lêkolînê vedikole ka çawa konfigurasyonên xelet ên wildcard û regex rê li ber windabûna sernavên ewlehiyê li ser rêyên hesas vedike û meriv çawa veavakirinê hişk dike.
Veavakirina Sernavê Ewlekariya Nerazî
Serlêdanên malperê bi gelemperî nekarin sernavên ewlehiyê yên bingehîn bicîh bînin, bikarhêneran li ber nivîsandina navmalperê (XSS), klîkek, û derzîlêdana daneyê dihêlin. Bi şopandina rêwerzên ewlehiya malperê yên damezrandî û karanîna amûrên venêrînê yên mîna Çavdêrxaneya MDN, pêşdebir dikarin serîlêdanên xwe li hember êrîşên hevpar ên gerok-based dijwar bikin.
Kêmkirina OWASP 10 Rîskên Serpêhatî di Pêşkeftina Bilez Web de
Hackerên Indie û tîmên piçûk bi gelemperî dema ku bilez bar dikin, bi taybetî bi koda ku ji hêla AI ve hatî hilberandin, bi pirsgirêkên ewlehiyê yên bêhempa re rû bi rû dimînin. Vê lêkolînê xetereyên dubare yên ji kategoriyên CWE Top 25 û OWASP-yê dubare dike, di nav de kontrola gihîştina şikestî û mîhengên ne ewledar, bingehek ji bo kontrolên ewlehiyê yên otomatîk peyda dike.
Di Serlêdanên AI-Desthilatdar de Vesazkirinên Sernavê HTTP-yê ne ewledar
Serlêdanên ku ji hêla arîkarên AI ve têne hilberandin bi gelemperî sernavên ewlehiya HTTP-ya bingehîn tune ne, ku li gorî standardên ewlehiyê yên nûjen tevnagerin. Vê kêmasiyê sepanên webê ji êrîşên hevpar ên ji hêla xerîdar ve xeternak dihêle. Bi karanîna pîvanên mîna Mozilla HTTP Observatory, pêşdebir dikarin parastinên wenda yên wekî CSP û HSTS nas bikin da ku pozîsyona ewlehiyê ya serîlêdana xwe baştir bikin.
Tesbîtkirin û Pêşîlêgirtina Xerabnivîsandina Xaç-Malperê (XSS)
Nivîsandina Cross-Site (XSS) dema ku serîlêdan daneyên nebawer di nav rûpelek malperê de bêyî pejirandin an kodkirina rast vedihewîne pêk tê. Ev rê dide êrîşkaran ku di geroka mexdûr de nivîsarên xerab bi darve bikin, ku bibe sedema revandina danişînê, kiryarên nedestûr, û eşkerekirina daneya hesas.
LiteLLM Proxy SQL Injection (CVE-2026-42208)
Zehfiyek krîtîk a derzîlêdanê ya SQL (CVE-2026-42208) di beşa proxy ya LiteLLM de dihêle ku êrîşkar bi karanîna pêvajoya verastkirina mifteya API verastkirinê derbas bikin an bigihîjin agahdariya databasa hesas.
Rîskên Ewlekariyê yên Kodkirina Vibe: Kontrolkirina AI-Kodê çêkirî
Zêdebûna 'kodkirina vibe'-avakirina sepanan di serî de bi navgîniya bilez a AI- metirsiyên wekî pêbaweriyên kodkirî û qalibên kodê yên neewle destnîşan dike. Ji ber ku modelên AI dikarin kodê li ser bingeha daneya perwerdehiyê ya ku qelsî dihewîne pêşniyar bikin, pêdivî ye ku derketina wan wekî nebawer were hesibandin û bi karanîna amûrên skankirina otomatîkî were kontrol kirin da ku pêşî li eşkerebûna daneyan bigire.
Ewlekariya JWT: Rîskên Tokenên Neewle û Verastkirina Daxwaza Wenda
JSON Web Tokens (JWT) ji bo veguheztina îdîayan standardek peyda dike, lê ewlehî bi verastkirina hişk ve girêdayî ye. Nerastkirina îmzeyan, demên qedandinê, an temaşevanên armanckirî dihêle ku êrîşkar ji verastkirinê derbas bibin an nîşanekan dubare bikin.
Sazkirina Vercel ewleh: Pratîkên çêtirîn ên parastin û serî
Vê lêkolînê mîhengên ewlehiyê yên ji bo serîlêdanên mêvandar ên Vercel-ê vedikole, li ser Parastina Dabeşkirinê û sernavên xwerû yên HTTP-ê disekine. Ew rave dike ka van taybetmendiyan çawa hawîrdorên pêşdîtinê diparêzin û polîtîkayên ewlehiyê yên gerokê bicîh dikin da ku pêşî li gihîştina nedestûr û êrişên tevneyê yên hevpar bigirin.
Derzkirina Fermana OS-ya Krîtîk li LibreNMS (CVE-2024-51092)
Guhertoyên LibreNMS yên heya 24.9.1-ê qelsiyek derzîlêdanê ya fermana OS-ya krîtîk (CVE-2024-51092) dihewîne. Êrîşkerên pejirandî dikarin fermanên keyfî li ser pergala mêvandar bicîh bînin, ku dibe sedema lihevhatina tevahî ya binesaziya çavdêriyê.
LiteLLM SQL Injection di Proxy API Verastkirina Mifteyê de (CVE-2026-42208)
Guhertoyên LiteLLM 1.81.16 heya 1.83.6 di mantiqa verastkirina mifteyê ya Proxy API de xisarek derziya SQL ya krîtîk dihewîne. Ev xeletî dihêle ku êrişkerên nenaskirî kontrolên erêkirinê derbas bikin an bigihîjin databasa bingehîn. Pirsgirêk di guhertoya 1.83.7 de çareser dibe.
Firebase Rêbazên Ewlekariyê: Pêşîlêgirtina Ragihandina Daneyên Bê Destûr
Firebase Rêbazên Ewlekariyê ji bo serîlêdanên bê server ku Firestore û Cloud Storage bikar tînin parastina bingehîn in. Gava ku ev qaîdeyên pir destûrdar in, wek mînak destûrdayîna xwendin û nivîsandina gerdûnî ya di hilberînê de, êrîşkar dikarin mantiqa serîlêdanê ya armanckirî derbas bikin da ku daneyên hesas bidizin an jêbirin. Vê lêkolînê mîhengên çewt ên hevpar, xetereyên pêşnumayên 'moda ceribandinê' û çawaniya pêkanîna kontrola gihîştina-bingeha nasnameyê vedikole.
Parastina CSRF: Parastina Li hember Guherînên Dewletan ên Bêdestûr
Daxwaza Daxwaza Xaçerê (CSRF) ji bo serîlêdanên malperê xeterek girîng dimîne. Vê lêkolînê vedikole ka çarçoveyên nûjen ên mîna Django çawa parastinê bicîh dikin û taybetmendiyên asta gerokê yên mîna SameSite çawa li hember daxwazên nedestûrkirî parastinê-kûr peyda dikin.
API Lîsteya Kontrola Ewlekariyê: 12 Tiştên ku Beriya Biçe Zindî kontrol bikin
API bingeha serîlêdanên webê yên nûjen in lê bi gelemperî hişkiya ewlehiyê ya pêşiyên kevneşopî tune. Vê gotara lêkolînê navnîşek kontrolê ya bingehîn ji bo ewlekirina API-yan vedibêje, balê dikişîne ser kontrola gihîştinê, sînorkirina rêjeyê, û parvekirina çavkaniyê ya xaça (CORS) da ku pêşî li binpêkirinên daneyan û destdirêjiya karûbarê bigire.
API Derketina Mifteyê: Rîsk û Çareserkirin Di Serlêdanên Webê yên Nûjen de
Veşartiyên hişk-kodkirî yên di koda pêşîn an dîroka depoyê de rê didin êrîşkeran ku xwe bişopînin karûbaran, xwe bigihînin daneyên taybet, û lêçûnên xwe derxînin. Ev gotar metirsiyên rijandina veşartî û gavên pêwîst ên ji bo paqijkirin û pêşîlêgirtinê vedihewîne.
CORS Vesazkirina çewt: Rîskên Polîtîkayên Zêde Destûrdar
Parvekirina Çavkaniyê ya Cross-Origin (CORS) mekanîzmayek gerokê ye ku ji bo rehetkirina Siyaseta Heman-Origin (SOP) hatî çêkirin. Digel ku ji bo sepanên tevnvî yên nûjen hewce ye, pêkanîna neguncaw - wek berteka sernavê Origin a daxwazkar an navnîşa spî ya eslê 'nûl'- dikare rê bide malperên xerab ku daneyên bikarhênerê taybet derxînin holê.
Ewlekirina MVP: Pêşîlêgirtina Lezkirina Daneyan di AI-Sêlêdanên SaaS de
Serlêdanên SaaS yên bi lez pêşkeftî bi gelemperî ji çavdêriyên ewlehiyê yên krîtîk dikişînin. Vê lêkolînê vedikole ka çawa razên veşartî û kontrolên gihîştinê yên şikestî, wek mînak Ewlekariya Asta Rêzê ya wenda (RLS), qelsiyên bibandor bilind di stûnên tevna nûjen de diafirîne.