// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
SQL įpurškimas vaiduokliškame turinyje API (CVE-2026-26980)
Ghost versijose nuo 3.24.0 iki 6.19.0 yra kritinis SQL įpurškimo pažeidžiamumas, esantis turinyje API. Tai leidžia neautentifikuotiems užpuolikams vykdyti savavališkas SQL komandas, o tai gali sukelti duomenų išfiltravimą arba neteisėtus pakeitimus.
Visi tyrimai
34 articles
Nuotolinis kodo vykdymas SPIP naudojant šablonų žymas (CVE-2016-7998)
SPIP 3.1.2 ir senesnėse versijose yra šablono kūrėjo pažeidžiamumas. Autentifikuoti užpuolikai gali įkelti HTML failus su sukurtomis INCLUDE arba INCLURE žymomis, kad serveryje vykdytų savavališką PHP kodą.
„ZoneMinder Apache“ konfigūracijos informacijos atskleidimas (CVE-2016-10140)
ZoneMinder 1.29 ir 1.30 versijos yra paveiktos netinkamos „Apache HTTP Server“ konfigūracijos. This flaw allows remote, unauthenticated attackers to browse the web root directory, potentially leading to sensitive information disclosure and authentication bypass.
Next.js saugos antraštės neteisinga konfigūracija next.config.js
Next.js programos, naudojančios next.config.js antraštėms tvarkyti, yra jautrios saugos spragoms, jei kelių atitikimo modeliai yra netikslūs. Šiame tyrime nagrinėjama, kaip netinkamai sukonfigūravus pakaitos simbolius ir reguliariąją išraišką, trūksta saugos antraščių jautriuose maršrutuose ir kaip sustiprinti konfigūraciją.
Inadequate Security Header Configuration
Žiniatinklio programose dažnai nepavyksta įdiegti esminių saugos antraščių, todėl vartotojai susiduria su kelių svetainių scenarijų (XSS), paspaudimų užgrobimu ir duomenų įvedimu. Laikydamiesi nustatytų žiniatinklio saugos gairių ir naudodami audito įrankius, tokius kaip MDN observatorija, kūrėjai gali žymiai sustiprinti savo programas nuo įprastų naršyklės atakų.
OWASP 10 pagrindinių greito interneto kūrimo rizikų mažinimas
Nepriklausomi įsilaužėliai ir nedidelės komandos dažnai susiduria su unikaliais saugumo iššūkiais greitai pristatydami, ypač naudojant AI sugeneruotą kodą. Šiame tyrime pabrėžiama pasikartojanti rizika, kylanti iš CWE Top 25 ir OWASP kategorijų, įskaitant sugedusią prieigos kontrolę ir nesaugias konfigūracijas, kurios sudaro pagrindą automatizuotiems saugumo patikrinimams.
Nesaugios HTTP antraštės konfigūracijos AI generuojamose programose
AI padėjėjų sukurtose programose dažnai trūksta esminių HTTP saugos antraščių, todėl jos neatitinka šiuolaikinių saugos standartų. Dėl šio praleidimo žiniatinklio programos tampa pažeidžiamos įprastoms kliento pusės atakoms. Naudodami etalonus, tokius kaip „Mozilla HTTP Observatory“, kūrėjai gali nustatyti trūkstamas apsaugos priemones, pvz., CSP ir HSTS, kad pagerintų savo programos saugumą.
Kryžminių svetainių scenarijų (XSS) pažeidžiamumų aptikimas ir prevencija
Kryžminis scenarijus (XSS) įvyksta, kai programa į tinklalapį įtraukia nepatikimų duomenų be tinkamo patvirtinimo ar kodavimo. Tai leidžia užpuolikams vykdyti kenkėjiškus scenarijus aukos naršyklėje, dėl ko užgrobiama sesija, atliekami neteisėti veiksmai ir atskleidžiami jautrūs duomenys.
„LiteLLM“ tarpinio serverio SQL įterpimas (CVE-2026-42208)
Kritinis SQL įpurškimo pažeidžiamumas (CVE-2026-42208) LiteLLM tarpinio serverio komponente leidžia užpuolikams apeiti autentifikavimą arba pasiekti neskelbtiną duomenų bazės informaciją, pasinaudojant API rakto patvirtinimo procesu.
Vibe kodavimo saugumo rizika: AI generuoto kodo auditas
„Vibe kodavimo“ – programų kūrimo, visų pirma per greitą AI raginimą – atsiradimas kelia pavojų, pvz., užkoduotų kredencialų ir nesaugių kodų šablonų. Kadangi AI modeliai gali pasiūlyti kodą, pagrįstą mokymo duomenimis, kuriuose yra pažeidžiamumų, jų išvestis turi būti traktuojama kaip nepatikima ir tikrinama naudojant automatinius nuskaitymo įrankius, kad būtų išvengta duomenų poveikio.
JWT Sauga: neužtikrintų žetonų rizika ir trūkstamas paraiškos patvirtinimas
JSON žiniatinklio prieigos raktai (JWT) yra reikalavimų perdavimo standartas, tačiau saugumas priklauso nuo griežto patvirtinimo. Nepatvirtinus parašų, galiojimo laiko ar numatytų auditorijų, užpuolikai gali apeiti autentifikavimą arba pakartoti žetonus.
Vercel diegimo apsauga: apsauga ir antraštės geriausia praktika
Šiame tyrime nagrinėjamos Vercel priglobtų programų saugos konfigūracijos, daugiausia dėmesio skiriant diegimo apsaugai ir tinkintoms HTTP antraštėms. Jame paaiškinama, kaip šios funkcijos apsaugo peržiūros aplinką ir užtikrina naršyklės saugumo politiką, kad būtų išvengta neteisėtos prieigos ir įprastų žiniatinklio atakų.
Kritinės OS komandų įpurškimas naudojant „LibreNMS“ (CVE-2024-51092)
LibreNMS versijose iki 24.9.1 yra kritinis OS komandų įpurškimo pažeidžiamumas (CVE-2024-51092). Autentifikuoti užpuolikai gali vykdyti savavališkas komandas pagrindinėje sistemoje, todėl gali būti visiškai pažeista stebėjimo infrastruktūra.
„LiteLLM SQL“ įterpimas tarpiniame serveryje API rakto patvirtinimas (CVE-2026-42208)
„LiteLLM“ versijose 1.81.16–1.83.6 yra kritinis SQL įpurškimo pažeidžiamumas tarpinio serverio API rakto patvirtinimo logikoje. Ši klaida leidžia neautentifikuotiems užpuolikams apeiti autentifikavimo valdiklius arba pasiekti pagrindinę duomenų bazę. Problema išspręsta naudojant 1.83.7 versiją.
Firebase saugos taisyklės: neleistino duomenų atskleidimo prevencija
Saugos taisyklės Firebase yra pagrindinė be serverio programų, naudojančių „Firestore“ ir „Cloud Storage“, apsauga. Kai šios taisyklės yra pernelyg leistinos, pvz., leidžiant visuotinę skaitymo ar rašymo prieigą gamyboje, užpuolikai gali apeiti numatytą programos logiką, kad pavogtų arba ištrintų neskelbtinus duomenis. Šiame tyrime nagrinėjamos dažnai pasitaikančios netinkamos konfigūracijos, numatytųjų „bandymo režimo“ nustatymų rizika ir kaip įdiegti tapatybe pagrįstą prieigos kontrolę.
CSRF apsauga: apsauga nuo neteisėtų būsenos pakeitimų
Kelių svetainių užklausų klastojimas (CSRF) išlieka didelė grėsmė žiniatinklio programoms. Šiame tyrime nagrinėjama, kaip šiuolaikinės sistemos, tokios kaip „Django“, įgyvendina apsaugą ir kaip naršyklės lygio atributai, pvz., „SameSite“, užtikrina nuodugnią apsaugą nuo neteisėtų užklausų.
API saugos kontrolinis sąrašas: 12 dalykų, kuriuos reikia patikrinti prieš pradedant transliuoti
API yra šiuolaikinių žiniatinklio programų pagrindas, tačiau dažnai joms trūksta tradicinių sąsajų saugumo griežtumo. Šiame tyrimo straipsnyje pateikiamas esminis API apsaugos kontrolinis sąrašas, daugiausia dėmesio skiriant prieigos kontrolei, greičio ribojimui ir įvairių šaltinių dalijimuisi (CORS), kad būtų išvengta duomenų pažeidimų ir piktnaudžiavimo paslaugomis.
API Raktų nutekėjimas: rizika ir taisymas šiuolaikinėse žiniatinklio programose
Užkoduotos paslaptys priekinio kodo ar saugyklos istorijoje leidžia užpuolikams apsimesti paslaugomis, pasiekti privačius duomenis ir patirti išlaidų. Šiame straipsnyje aprašoma slapto nutekėjimo rizika ir būtini valymo bei prevencijos veiksmai.
CORS Netinkama konfigūracija: pernelyg leistinos politikos rizika
Kryžminės kilmės išteklių bendrinimas (CORS) yra naršyklės mechanizmas, skirtas sušvelninti tos pačios kilmės politiką (SOP). Nors tai būtina šiuolaikinėms žiniatinklio programoms, netinkamas diegimas, pvz., užklausos teikėjo „Origin“ antraštės atkartojimas arba „nulios“ kilmės įtraukimas į baltąjį sąrašą, gali leisti kenkėjiškoms svetainėms išfiltruoti privačius naudotojo duomenis.
MVP apsauga: duomenų nutekėjimo prevencija AI sukurtose SaaS programose
Greitai kuriamos SaaS programos dažnai kenčia nuo kritinių saugos priemonių. Šiame tyrime nagrinėjama, kaip nutekėjusios paslaptys ir sugadinti prieigos valdikliai, pvz., trūkstamos eilutės lygio sauga (RLS), sukuria didelio poveikio šiuolaikinių žiniatinklio krūvelių pažeidžiamumą.