// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
Ghost мазмундагы SQL инъекциясы API (CVE-2026-26980)
Ghost версиялары 3.24.0 жана 6.19.0 API Мазмунунда маанилүү SQL инъекциясынын аялуулугун камтыйт. Бул аутентификацияланбаган чабуулчуларга ыктыярдуу SQL буйруктарын аткарууга мүмкүндүк берет, бул маалыматтарды эксфильтрациялоого же уруксатсыз өзгөртүүлөргө алып келиши мүмкүн.
Бардык research
34 articles
Template Tags (CVE-2016-7998) аркылуу SPIPде алыстан кодду аткаруу
SPIP 3.1.2 жана андан мурунку версияларында калыптын түзүүчүсүнүн кемчилиги бар. Аныктыгы текшерилген чабуулчулар серверде ыктыярдуу PHP кодун аткаруу үчүн даярдалган INCLUDE же INCLURE тэгдери менен HTML файлдарын жүктөй алышат.
ZoneMinder Apache конфигурациясынын маалыматын ачуу (CVE-2016-10140)
ZoneMinder 1.29 жана 1.30 версияларына Apache HTTP серверинин туура эмес конфигурациясы таасир этет. Бул кемчилик алыскы, аутентификацияланбаган чабуулчуларга веб түпкү каталогун карап чыгууга мүмкүндүк берет, бул купуя маалыматтын ачыкка чыгышына жана аутентификацияны айланып өтүүгө алып келиши мүмкүн.
Next.js Next.config.js ичинде коопсуздук темасынын туура эмес конфигурациясы
Next.js колдонмолорунун башын башкаруу үчүн next.config.js колдонуучу жолдорду дал келүү үлгүлөрү так болбосо, коопсуздук боштугуна дуушар болушат. Бул изилдөө конфигурацияны кантип катаалдаштырууну жана жашыруун каттардагы коопсуздук темаларынын жетишсиздигине алып келүүчү кооптуу белги жана регекс туура эмес конфигурацияларын изилдейт.
Коопсуздук башкы конфигурациясынын жетишсиздиги
Веб тиркемелери көбүнчө коопсуздуктун маанилүү аталыштарын ишке ашыра албай, колдонуучуларды сайттар аралык скрипттерге (XSS), кликтөөгө жана маалыматтарды киргизүүгө дуушар кылып коюшат. Белгиленген веб-коопсуздук көрсөтмөлөрүнө баш ийүү жана MDN Обсерваториясы сыяктуу аудит куралдарын колдонуу менен, иштеп чыгуучулар өздөрүнүн тиркемелерин жалпы браузерге негизделген чабуулдарга каршы олуттуу түрдө күчөтө алышат.
OWASP Жеңилди тез иштеп чыгуудагы эң мыкты 10 тобокелдиктерди азайтуу
Инди хакерлери жана чакан командалар, өзгөчө AI тарабынан түзүлгөн код менен, тез жеткирүү учурунда коопсуздуктун уникалдуу көйгөйлөрүнө туш болушат. Бул изилдөө CWE Топ 25 жана OWASP категорияларынын кайталануучу тобокелдиктерин баса белгилейт, анын ичинде бузулган кирүүнү башкаруу жана кооптуу конфигурациялар, автоматташтырылган коопсуздук текшерүүлөрү үчүн негиз болуп берет.
AI тарабынан түзүлгөн колдонмолордогу кооптуу HTTP баш конфигурациялары
AI жардамчылары тарабынан түзүлгөн тиркемелерде көбүнчө заманбап коопсуздук стандарттарына жооп бере албаган HTTP коопсуздук аталыштары жок. Бул калтыруу веб тиркемелерди жалпы кардар тараптын чабуулдарына алсыз кылат. Mozilla HTTP Observatory сыяктуу эталондорду колдонуу менен, иштеп чыгуучулар өздөрүнүн тиркемесинин коопсуздук абалын жакшыртуу үчүн CSP жана HSTS сыяктуу жетишпеген коргоолорду аныктай алышат.
Сайттар аралык скрипттерди аныктоо жана алдын алуу (XSS)
Cross-Site Scripting (XSS) тиркеме туура текшерүүсүз же коддолбостон веб-баракчага ишенимсиз маалыматтарды камтыганда пайда болот. Бул чабуулчуларга жабырлануучунун браузеринде зыяндуу скрипттерди аткарууга мүмкүндүк берет, бул сеанстарды уурдоого, уруксатсыз аракеттерге жана купуя маалыматтардын ачыкка чыгышына алып келет.
LiteLLM прокси SQL инъекциясы (CVE-2026-42208)
LiteLLM прокси компонентиндеги олуттуу SQL инъекциялык аялуулугу (CVE-2026-42208) чабуулчуларга API ачкыч текшерүү процессин пайдалануу аркылуу аутентификацияны айланып өтүүгө же купуя маалымат базасына кирүү мүмкүнчүлүгүн берет.
Vibe коддоосунун коопсуздук тобокелдиктери: AI тарабынан түзүлгөн кодду текшерүү
"Vibe коддоосунун" өсүшү — биринчи кезекте тез AI тез жардам берүү аркылуу тиркемелерди түзүү — катуу коддолгон эсептик дайындар жана кооптуу код үлгүлөрү сыяктуу тобокелдиктерди жаратат. AI моделдери аялуу жерлерди камтыган окутуу маалыматтарынын негизинде кодду сунушташы мүмкүн болгондуктан, алардын чыгарылышы ишенимсиз катары каралышы керек жана маалыматтардын таасиринин алдын алуу үчүн автоматташтырылган сканерлөө куралдары менен текшерилиши керек.
JWT Коопсуздук: Корголбогон Токендердин тобокелдиктери жана Дооматтарды текшерүүнүн жетишсиздиги
JSON Web Tokens (JWTs) дооматтарды өткөрүп берүү үчүн стандартты камсыз кылат, бирок коопсуздук катуу текшерүүгө таянат. Кол коюуларды, жарактуулук мөөнөтүн же арналган аудиторияны текшербей коюу чабуулчуларга аутентификацияны айланып өтүүгө же энбелгилерди кайра ойнотууга мүмкүндүк берет.
Vercel Жайгаштырууларды коргоо: Коргоо жана Header мыкты тажрыйбалары
Бул изилдөө Vercel-хостингдеги колдонмолор үчүн коопсуздук конфигурацияларын изилдеп, Жайгаштыруу коргоосуна жана ыңгайлаштырылган HTTP аталыштарына басым жасайт. Бул мүмкүнчүлүктөр алдын ала көрүү чөйрөлөрүн кантип коргоп, уруксатсыз кирүүнү жана жалпы веб чабуулдарды болтурбоо үчүн браузер тараптагы коопсуздук саясаттарын кантип ишке ашырарын түшүндүрөт.
LibreNMS (CVE-2024-51092) ичинде критикалык ОС буйругун киргизүү
LibreNMSтин 24.9.1ге чейинки версияларында OS командалык инъекциясынын сындуу кемчилиги бар (CVE-2024-51092). Аутентификацияланган чабуулчулар хост тутумунда ыктыярдуу буйруктарды аткарышы мүмкүн, бул мониторинг инфраструктурасынын толук бузулушуна алып келиши мүмкүн.
Proxyдеги LiteLLM SQL инъекциясы API ачкычын текшерүү (CVE-2026-42208)
LiteLLM 1.81.16дан 1.83.6га чейинки версиялары Proxy API ачкыч текшерүү логикасында маанилүү SQL инъекциясынын аялуулугун камтыйт. Бул кемчилик аутентификациядан өтпөгөн чабуулчуларга аутентификацияны көзөмөлдөөнү айланып өтүүгө же негизги маалымат базасына кирүү мүмкүнчүлүгүн берет. Маселе 1.83.7 версиясында чечилген.
Firebase Коопсуздук эрежелери: Уруксатсыз маалыматтардын таасиринин алдын алуу
Firebase Коопсуздук эрежелери Firestore жана Cloud Storage колдонгон серверсиз тиркемелер үчүн негизги коргонуу болуп саналат. Бул эрежелер өндүрүштө глобалдык окууга же жазууга уруксат берүү сыяктуу өтө уруксат берүүчү болгондо, чабуулчулар купуя маалыматтарды уурдоо же жок кылуу үчүн арналган колдонмо логикасын айланып өтүшү мүмкүн. Бул изилдөө кеңири таралган туура эмес конфигурацияларды, "сыноо режиминин" демейки тобокелдиктерин жана иденттүүлүккө негизделген кирүүнү башкарууну кантип ишке ашырууну изилдейт.
CSRF коргоо: уруксатсыз мамлекеттик өзгөрүүлөргө каршы коргоо
Cross-Site Request Forgery (CSRF) веб-тиркемелер үчүн олуттуу коркунуч бойдон калууда. Бул изилдөө Django сыяктуу заманбап алкактар коргоону кантип ишке ашырарын жана SameSite сыяктуу браузер деңгээлиндеги атрибуттар уруксатсыз суроо-талаптарга каршы кантип терең коргонууну камсыздай турганын изилдейт.
API Коопсуздук Текшерүү тизмеси: Түз эфирге чыгуудан мурун текшерүү керек болгон 12 нерсе
API'лер заманбап веб-тиркемелердин негизи болуп саналат, бирок көбүнчө салттуу фронтондордун коопсуздук катаалдыгы жок. Бул изилдөө макаласында маалыматтын бузулушун жана кызматты кыянаттык менен пайдаланууну алдын алуу үчүн жеткиликтүүлүктү көзөмөлдөөгө, ылдамдыкты чектөөгө жана кайчылаш булактарды бөлүшүүгө (CORS) көңүл буруп, API'лерди коргоо үчүн маанилүү текшерүү тизмеси келтирилген.
API Негизги агып кетүү: Заманбап веб-тиркемелердеги тобокелдиктер жана оңдоолор
Фронт-коддогу же репозиторий тарыхындагы катуу коддолгон сырлар чабуулчуларга кызматтардын атын жамынып, жеке маалыматтарга кирүү жана чыгымдарды талап кылууга мүмкүндүк берет. Бул макалада жашыруун агып кетүү коркунучу жана тазалоо жана алдын алуу боюнча зарыл кадамдар камтылган.
CORS Туура эмес конфигурация: Өтө уруксат берүүчү саясаттын тобокелдиктери
Cross-Origin Resource Sharing (CORS) – бир эле келип чыккан саясатты (SOP) эс алуу үчүн иштелип чыккан серепчи механизми. Заманбап веб-тиркемелер үчүн зарыл болсо да, туура эмес ишке ашыруу — сурамчынын Түпкү аталышын кайталоо же "нөлдүк" түпну ак тизмеге киргизүү - зыяндуу сайттарга жеке колдонуучу дайындарын эксфильтрациялоого жол бериши мүмкүн.
MVP коопсуздугу: AI тарабынан түзүлгөн SaaS колдонмолорунда маалыматтардын агып кетишинин алдын алуу
Ыкчам өнүккөн SaaS тиркемелери көбүнчө коопсуздуктун критикалык көзөмөлүнөн жабыркайт. Бул изилдөө ачыкка чыгып кеткен сырлар жана бузулган кирүү башкаруулары, мисалы, жетишпеген Row Level Security (RLS) заманбап веб стектерде кандайча таасирдүү алсыздыктарды түзөрүн изилдейт.