// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
SQL Injection ໃນ Ghost Content API (CVE-2026-26980)
Ghost ເວີຊັ່ນ 3.24.0 ຫາ 6.19.0 ມີຊ່ອງໂຫວ່ການສີດ SQL ທີ່ສຳຄັນໃນເນື້ອຫາ API. ນີ້ອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີທີ່ບໍ່ໄດ້ຮັບຄວາມຖືກຕ້ອງປະຕິບັດຄໍາສັ່ງ SQL ດ້ວຍຕົນເອງ, ເຊິ່ງອາດຈະນໍາໄປສູ່ການຂູດຂໍ້ມູນຫຼືການດັດແກ້ທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ.
ຄົ້ນຄວ້າທັງໝົດ
34 articles
ການປະຕິບັດລະຫັດໄລຍະໄກໃນ SPIP ຜ່ານແທັກແມ່ແບບ (CVE-2016-7998)
SPIP ເວີຊັ່ນ 3.1.2 ແລະກ່ອນໜ້ານັ້ນມີຈຸດອ່ອນຢູ່ໃນຕົວປະກອບແມ່ແບບ. ຜູ້ໂຈມຕີທີ່ຜ່ານການພິສູດຢືນຢັນສາມາດອັບໂຫລດໄຟລ໌ HTML ທີ່ມີແທັກ INCLUDE ຫຼື INCLURE ທີ່ສ້າງຂຶ້ນເພື່ອປະຕິບັດລະຫັດ PHP ດ້ວຍຕົນເອງໃນເຊີບເວີ.
ການເປີດເຜີຍຂໍ້ມູນການຕັ້ງຄ່າ ZoneMinder Apache (CVE-2016-10140)
ເວີຊັ່ນ ZoneMinder 1.29 ແລະ 1.30 ໄດ້ຮັບຜົນກະທົບຈາກການຕັ້ງຄ່າ Apache HTTP Server ທີ່ຖືກມັດໄວ້ຜິດ. ຂໍ້ບົກພ່ອງນີ້ອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີຈາກໄລຍະໄກ, ບໍ່ໄດ້ຮັບການພິສູດຢືນຢັນສາມາດຊອກຫາໄດເລກະທໍລີຮາກເວັບ, ອາດຈະນໍາໄປສູ່ການເປີດເຜີຍຂໍ້ມູນທີ່ລະອຽດອ່ອນ ແລະຜ່ານການກວດສອບຄວາມຖືກຕ້ອງ.
Next.js ການຕັ້ງຄ່າສ່ວນຫົວຄວາມປອດໄພຜິດໃນ next.config.js
ແອັບພລິເຄຊັນ Next.js ທີ່ໃຊ້ next.config.js ສໍາລັບການຈັດການສ່ວນຫົວແມ່ນມີຄວາມອ່ອນໄຫວຕໍ່ກັບຊ່ອງຫວ່າງດ້ານຄວາມປອດໄພຖ້າຮູບແບບການຈັບຄູ່ເສັ້ນທາງບໍ່ຊັດເຈນ. ການຄົ້ນຄວ້ານີ້ຄົ້ນຄວ້າວິທີການກໍານົດຄ່າ wildcard ແລະ regex ທີ່ບໍ່ຖືກຕ້ອງເຮັດໃຫ້ສ່ວນຫົວຄວາມປອດໄພຂາດຫາຍໄປໃນເສັ້ນທາງທີ່ລະອຽດອ່ອນ ແລະວິທີການເຮັດໃຫ້ການຕັ້ງຄ່າແຂງຂຶ້ນ.
ການຕັ້ງຄ່າສ່ວນຫົວຄວາມປອດໄພບໍ່ພຽງພໍ
ແອັບພລິເຄຊັນເວັບມັກຈະລົ້ມເຫລວໃນການປະຕິບັດສ່ວນຫົວຄວາມປອດໄພທີ່ສໍາຄັນ, ເຮັດໃຫ້ຜູ້ໃຊ້ສໍາຜັດກັບ scripting ຂ້າມເວັບໄຊທ໌ (XSS), clickjacking, ແລະການສີດຂໍ້ມູນ. ໂດຍການປະຕິບັດຕາມຄໍາແນະນໍາດ້ານຄວາມປອດໄພຂອງເວັບໄຊຕ໌ທີ່ສ້າງຕັ້ງຂຶ້ນແລະນໍາໃຊ້ເຄື່ອງມືການກວດສອບເຊັ່ນ MDN Observatory, ນັກພັດທະນາສາມາດແຂງຕົວສໍາລັບຄໍາຮ້ອງສະຫມັກຂອງເຂົາເຈົ້າຕໍ່ກັບການໂຈມຕີທົ່ວໄປໂດຍຕົວທ່ອງເວັບ.
Mitigating OWASP Top 10 Risks in Rapid Web Development
Indie hackers and small teams often face unique security challenges when shipping fast, especially with AI-generated code. ການຄົ້ນຄວ້ານີ້ຊີ້ໃຫ້ເຫັນຄວາມສ່ຽງທີ່ເກີດຂື້ນເລື້ອຍໆຈາກປະເພດ CWE Top 25 ແລະ OWASP, ລວມທັງການຄວບຄຸມການເຂົ້າເຖິງທີ່ແຕກຫັກແລະການຕັ້ງຄ່າທີ່ບໍ່ປອດໄພ, ສະຫນອງພື້ນຖານສໍາລັບການກວດສອບຄວາມປອດໄພອັດຕະໂນມັດ.
Insecure HTTP Header Configurations in AI-Generated Applications
ແອັບພລິເຄຊັນທີ່ສ້າງຂຶ້ນໂດຍຜູ້ຊ່ວຍ AI ມັກຈະຂາດສ່ວນຫົວຄວາມປອດໄພ HTTP ທີ່ສໍາຄັນ, ບໍ່ບັນລຸມາດຕະຖານຄວາມປອດໄພທີ່ທັນສະໄຫມ. This omission leaves web applications vulnerable to common client-side attacks. ໂດຍການນໍາໃຊ້ມາດຕະຖານເຊັ່ນ Mozilla HTTP Observatory, ນັກພັດທະນາສາມາດກໍານົດການປົກປ້ອງທີ່ຂາດຫາຍໄປເຊັ່ນ CSP ແລະ HSTS ເພື່ອປັບປຸງທ່າທາງຄວາມປອດໄພຂອງແອັບພລິເຄຊັນຂອງພວກເຂົາ.
Detecting and Preventing Cross-Site Scripting (XSS) Vulnerabilities
Cross-Site Scripting (XSS) ເກີດຂຶ້ນເມື່ອແອັບພລິເຄຊັນລວມເອົາຂໍ້ມູນທີ່ບໍ່ໜ້າເຊື່ອຖືຢູ່ໃນໜ້າເວັບ ໂດຍບໍ່ມີການກວດສອບ ຫຼືເຂົ້າລະຫັດຢ່າງຖືກຕ້ອງ. ອັນນີ້ເຮັດໃຫ້ຜູ້ໂຈມຕີສາມາດປະຕິບັດການສະຄຣິບທີ່ເປັນອັນຕະລາຍຢູ່ໃນບຣາວເຊີຂອງຜູ້ເຄາະຮ້າຍ, ນໍາໄປສູ່ການລັກລອບເຊສຊັນ, ການກະທໍາທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ, ແລະການເປີດເຜີຍຂໍ້ມູນທີ່ອ່ອນໄຫວ.
LiteLLM Proxy SQL Injection (CVE-2026-42208)
ຊ່ອງໂຫວ່ການສີດ SQL ທີ່ສໍາຄັນ (CVE-2026-42208) ໃນອົງປະກອບພຣັອກຊີຂອງ LiteLLM ອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີຂ້າມຜ່ານການກວດສອບ ຫຼືເຂົ້າເຖິງຂໍ້ມູນຖານຂໍ້ມູນທີ່ລະອຽດອ່ອນໂດຍການໃຊ້ຂະບວນການກວດສອບຫຼັກ API.
ຄວາມສ່ຽງດ້ານຄວາມປອດໄພຂອງ Vibe Coding: ການກວດສອບລະຫັດ AI ທີ່ສ້າງຂຶ້ນ
ການເພີ່ມຂຶ້ນຂອງ 'vibe coding'—ການສ້າງຄໍາຮ້ອງສະຫມັກຕົ້ນຕໍໂດຍຜ່ານການກະຕຸ້ນ AI ຢ່າງໄວວາ, ນໍາສະເຫນີຄວາມສ່ຽງເຊັ່ນ: ຂໍ້ມູນປະຈໍາຕົວ hardcoded ແລະຮູບແບບລະຫັດທີ່ບໍ່ປອດໄພ. ເນື່ອງຈາກວ່າຕົວແບບ AI ອາດຈະແນະນໍາລະຫັດໂດຍອີງໃສ່ຂໍ້ມູນການຝຶກອົບຮົມທີ່ມີຊ່ອງໂຫວ່, ຜົນຜະລິດຂອງພວກມັນຕ້ອງຖືກປະຕິບັດວ່າບໍ່ຫນ້າເຊື່ອຖືແລະຖືກກວດສອບໂດຍໃຊ້ເຄື່ອງມືສະແກນອັດຕະໂນມັດເພື່ອປ້ອງກັນການເປີດເຜີຍຂໍ້ມູນ.
JWT Security: Risks of Unsecured Tokens and Missing Claim Validation
JSON Web Tokens (JWTs) provide a standard for transferring claims, but security relies on rigorous validation. Failure to verify signatures, expiration times, or intended audiences allows attackers to bypass authentication or replay tokens.
ການຮັບປະກັນການປະຕິບັດ Vercel: ການປົກປ້ອງແລະການປະຕິບັດທີ່ດີທີ່ສຸດຂອງຫົວ
ການຄົ້ນຄວ້ານີ້ຄົ້ນຫາການຕັ້ງຄ່າຄວາມປອດໄພສໍາລັບແອັບພລິເຄຊັນ Vercel-hosted, ສຸມໃສ່ການປົກປ້ອງ Deployment ແລະສ່ວນຫົວ HTTP ແບບກໍານົດເອງ. ມັນອະທິບາຍວ່າຄຸນສົມບັດເຫຼົ່ານີ້ປົກປ້ອງສະພາບແວດລ້ອມການເບິ່ງຕົວຢ່າງແນວໃດ ແລະບັງຄັບໃຊ້ນະໂຍບາຍຄວາມປອດໄພຂອງຕົວທ່ອງເວັບເພື່ອປ້ອງກັນການເຂົ້າເຖິງທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ ແລະການໂຈມຕີເວັບທົ່ວໄປ.
ການໃສ່ຄຳສັ່ງ OS ສຳຄັນໃນ LibreNMS (CVE-2024-51092)
ລຸ້ນ LibreNMS ສູງເຖິງ 24.9.1 ມີຊ່ອງໂຫວ່ການສີດຄຳສັ່ງ OS ທີ່ສຳຄັນ (CVE-2024-51092). ຜູ້ໂຈມຕີທີ່ຜ່ານການພິສູດຢືນຢັນສາມາດປະຕິບັດຄໍາສັ່ງທີ່ຕົນເອງມັກຢູ່ໃນລະບົບໂຮດ, ເຊິ່ງອາດຈະນໍາໄປສູ່ການປະນີປະນອມທັງຫມົດຂອງໂຄງສ້າງພື້ນຖານການຕິດຕາມ.
LiteLLM SQL Injection ໃນ Proxy API Key Verification (CVE-2026-42208)
LiteLLM ເວີຊັ່ນ 1.81.16 ຫາ 1.83.6 ມີຊ່ອງໂຫວ່ການສີດ SQL ທີ່ສຳຄັນໃນເຫດຜົນການຢືນຢັນຫຼັກຂອງພຣັອກຊີ API. ຂໍ້ບົກພ່ອງນີ້ເຮັດໃຫ້ຜູ້ໂຈມຕີທີ່ບໍ່ໄດ້ຮັບການກວດສອບຄວາມຖືກຕ້ອງຜ່ານການຄວບຄຸມການກວດສອບ ຫຼືເຂົ້າເຖິງຖານຂໍ້ມູນທີ່ຕິດພັນ. ບັນຫາໄດ້ຖືກແກ້ໄຂໃນສະບັບ 1.83.7.
ກົດລະບຽບຄວາມປອດໄພ Firebase: ປ້ອງກັນການເປີດເຜີຍຂໍ້ມູນທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ
Firebase ກົດລະບຽບຄວາມປອດໄພແມ່ນການປ້ອງກັນຕົ້ນຕໍສໍາລັບແອັບພລິເຄຊັນທີ່ບໍ່ມີເຄື່ອງແມ່ຂ່າຍໂດຍໃຊ້ Firestore ແລະ Cloud Storage. ເມື່ອກົດລະບຽບເຫຼົ່ານີ້ອະນຸຍາດໃຫ້ເກີນໄປ, ເຊັ່ນການອະນຸຍາດໃຫ້ການອ່ານຫຼືຂຽນທົ່ວໂລກໃນການຜະລິດ, ຜູ້ໂຈມຕີສາມາດຂ້າມເຫດຜົນຂອງແອັບພລິເຄຊັນເພື່ອລັກຫຼືລຶບຂໍ້ມູນທີ່ລະອຽດອ່ອນ. ການຄົ້ນຄວ້ານີ້ຄົ້ນຄວ້າການຕັ້ງຄ່າທີ່ຜິດພາດທົ່ວໄປ, ຄວາມສ່ຽງຂອງຄ່າເລີ່ມຕົ້ນຂອງ 'ຮູບແບບການທົດສອບ' ແລະວິທີການປະຕິບັດການຄວບຄຸມການເຂົ້າເຖິງທີ່ອີງໃສ່ຕົວຕົນ.
ການປົກປ້ອງ CSRF: ປ້ອງກັນການປ່ຽນແປງຂອງລັດທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ
Cross-Site Request Forgery (CSRF) ຍັງຄົງເປັນໄພຂົ່ມຂູ່ອັນສໍາຄັນຕໍ່ກັບຄໍາຮ້ອງສະຫມັກເວັບໄຊຕ໌. ການຄົ້ນຄວ້ານີ້ຄົ້ນຄວ້າວິທີການທີ່ກອບທີ່ທັນສະໄຫມເຊັ່ນ Django ປະຕິບັດການປົກປ້ອງແລະວິທີການຄຸນລັກສະນະລະດັບຕົວທ່ອງເວັບເຊັ່ນ SameSite ສະຫນອງການປ້ອງກັນໃນຄວາມເລິກຕໍ່ກັບຄໍາຮ້ອງຂໍທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ.
API ການກວດສອບຄວາມປອດໄພ: 12 ສິ່ງທີ່ຄວນກວດສອບກ່ອນທີ່ຈະດໍາລົງຊີວິດ
APIs ແມ່ນກະດູກສັນຫຼັງຂອງຄໍາຮ້ອງສະຫມັກເວັບໄຊຕ໌ທີ່ທັນສະໄຫມແຕ່ມັກຈະຂາດຄວາມເຂັ້ມງວດດ້ານຄວາມປອດໄພຂອງຫນ້າແບບດັ້ງເດີມ. ບົດຄວາມຄົ້ນຄ້ວານີ້ອະທິບາຍລາຍການກວດກາທີ່ຈໍາເປັນສໍາລັບການຮັບປະກັນ APIs, ສຸມໃສ່ການຄວບຄຸມການເຂົ້າເຖິງ, ການຈໍາກັດອັດຕາ, ແລະການແບ່ງປັນຊັບພະຍາກອນຂ້າມແຫຼ່ງ (CORS) ເພື່ອປ້ອງກັນການລະເມີດຂໍ້ມູນແລະການລ່ວງລະເມີດການບໍລິການ.
API ການຮົ່ວໄຫລທີ່ສໍາຄັນ: ຄວາມສ່ຽງແລະການແກ້ໄຂໃນແອັບຯເວັບທີ່ທັນສະໄຫມ
ຄວາມລັບທີ່ມີລະຫັດຍາກໃນລະຫັດ frontend ຫຼືປະຫວັດການເກັບຮັກສາອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີສາມາດປອມຕົວເປັນການບໍລິການ, ເຂົ້າເຖິງຂໍ້ມູນສ່ວນຕົວ, ແລະຄ່າໃຊ້ຈ່າຍ. ບົດຄວາມນີ້ກວມເອົາຄວາມສ່ຽງຂອງການຮົ່ວໄຫລຂອງຄວາມລັບແລະຂັ້ນຕອນທີ່ຈໍາເປັນສໍາລັບການທໍາຄວາມສະອາດແລະການປ້ອງກັນ.
CORS ການຕັ້ງຄ່າບໍ່ຖືກຕ້ອງ: ຄວາມສ່ຽງຂອງນະໂຍບາຍການອະນຸຍາດຫຼາຍເກີນໄປ
ການແບ່ງປັນຊັບພະຍາກອນຂ້າມແຫຼ່ງ (CORS) ແມ່ນກົນໄກຂອງຕົວທ່ອງເວັບທີ່ອອກແບບມາເພື່ອຜ່ອນຄາຍນະໂຍບາຍຕົ້ນກໍາເນີດດຽວກັນ (SOP). ໃນຂະນະທີ່ມີຄວາມຈໍາເປັນສໍາລັບແອັບຯເວັບທີ່ທັນສະໄຫມ, ການປະຕິບັດທີ່ບໍ່ເຫມາະສົມ - ເຊັ່ນ: echoing ຫົວຂໍ້ຕົ້ນກໍາເນີດຂອງຜູ້ຮ້ອງຂໍຫຼື whitelisting 'null' ຕົ້ນກໍາເນີດ - ສາມາດອະນຸຍາດໃຫ້ເວັບໄຊທ໌ທີ່ເປັນອັນຕະລາຍເພື່ອ exfiltrate ຂໍ້ມູນຜູ້ໃຊ້ສ່ວນຕົວ.
ຮັບປະກັນ MVP: ປ້ອງກັນການຮົ່ວໄຫຼຂອງຂໍ້ມູນໃນແອັບ AI ທີ່ສ້າງໂດຍ SaaS
ແອັບພລິເຄຊັນ SaaS ທີ່ຖືກພັດທະນາຢ່າງໄວວາມັກຈະທົນທຸກຈາກການກວດສອບຄວາມປອດໄພທີ່ສໍາຄັນ. ການຄົ້ນຄວ້ານີ້ຄົ້ນຄວ້າວິທີການຮົ່ວໄຫລຂອງຄວາມລັບແລະການຄວບຄຸມການເຂົ້າເຖິງທີ່ແຕກຫັກ, ເຊັ່ນວ່າບໍ່ມີ Row Level Security (RLS), ສ້າງຊ່ອງໂຫວ່ທີ່ມີຜົນກະທົບສູງໃນເວັບ stacks ທີ່ທັນສະໄຫມ.