// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
SQL tsindrona amin'ny votoaty matoatoa API (CVE-2026-26980)
Ny dikan-teny Ghost 3.24.0 hatramin'ny 6.19.0 dia misy vulnerable SQL tsindrona manakiana ao amin'ny Content API. Izany dia ahafahan'ny mpanafika tsy voamarina manatanteraka baiko SQL tsy misy dikany, mety hitarika amin'ny fandroahana data na fanovana tsy nahazoana alalana.
Research rehetra
34 articles
Famonoana kaody lavitra amin'ny SPIP amin'ny alàlan'ny Tags Template (CVE-2016-7998)
Ny dikan-teny SPIP 3.1.2 sy teo aloha dia misy vulnerable ao amin'ny mpamorona môdely. Ireo mpanafika voamarina dia afaka mampakatra rakitra HTML miaraka amin'ny marika INCLUDE na INCLURE noforonina mba hanatanterahana ny kaody PHP tsy misy dikany amin'ny mpizara.
ZoneMinder Apache Configuration Information Disclosure (CVE-2016-10140)
Ny dikan-teny ZoneMinder 1.29 sy 1.30 dia misy fiantraikany amin'ny tsy fetezan'ny Apache HTTP Server. Ity lesoka ity dia ahafahan'ny mpanafika lavitra tsy voamarina mijery ny lahatahiry fakan-tranonkala, izay mety hitarika amin'ny fampahafantarana vaovao saro-pady sy ny fandalovan'ny fanamarinana.
Next.js Security Header diso configuration ao amin'ny next.config.js
Ny fampiharana Next.js mampiasa next.config.js ho an'ny fitantanana lohapejy dia mety ho tratran'ny banga fiarovana raha toa ka tsy mazava ny lamina mifanandrify amin'ny lalana. Ity fikarohana ity dia manadihady ny fomba mahatonga ny tsy fetezan'ny wildcard sy ny regex amin'ny lohapejy fiarovana tsy hita amin'ny lalana saro-pady sy ny fomba hanamafisana ny fanamafisana.
Tsy ampy ny Security Header Configuration
Matetika ny fampiharana an-tranonkala dia tsy mahavita mametraka lohapejy fiarovana tena ilaina, ka mahatonga ny mpampiasa hiharan'ny scripting cross-site (XSS), clickjacking, ary tsindrona data. Amin'ny fanarahana ny torolàlana momba ny fiarovana amin'ny tranonkala sy ny fampiasana fitaovana fanaraha-maso toy ny MDN Observatory, ny mpamorona dia afaka manamafy ny fampiharana azy ireo amin'ny fanafihana mahazatra mifototra amin'ny navigateur.
Fanalefahana ny OWASP Loza 10 ambony indrindra amin'ny fampivoarana tranonkala haingana
Ny mpijirika indie sy ny ekipa kely matetika dia miatrika fanamby fiarovana tsy manam-paharoa rehefa mandefa haingana, indrindra amin'ny code vokarin'ny AI. Ity fikarohana ity dia manasongadina ny loza miverimberina avy amin'ny sokajy CWE Top 25 sy OWASP, ao anatin'izany ny fanaraha-maso tapaka ny fidirana sy ny fanamafisana tsy azo antoka, manome fototra ho an'ny fisavana fiarovana mandeha ho azy.
Fampiharana lohapejy HTTP tsy azo antoka amin'ny fampiharana AI
Ny fampiharana novokarin'ny AI dia matetika tsy manana lohapejy fiarovana HTTP tena ilaina, tsy mahafeno ny fenitra fiarovana maoderina. Ity fanalana ity dia mamela ny rindranasa amin'ny tranonkala ho mora voan'ny fanafihana mahazatra ataon'ny mpanjifa. Amin'ny fampiasana mari-pamantarana toa ny Mozilla HTTP Observatory, ny mpamorona dia afaka mamantatra ireo fiarovana tsy hita toa ny CSP sy HSTS hanatsarana ny fiarovana ny fampiharana azy.
Mitadiava sy misoroka ny vulnerability amin'ny Scripting Cross-site (XSS)
Ny Scripting Cross-Site (XSS) dia mitranga rehefa misy rindranasa misy angona tsy azo itokisana amin'ny pejin-tranonkala tsy misy fanamarinana na famandrihana araka ny tokony ho izy. Izany dia ahafahan'ny mpanafika manatanteraka sora-baventy maloto ao amin'ny mpitety tranonkalan'ilay niharam-boina, ka mitarika amin'ny fakàna an-keriny fivoriana, hetsika tsy nahazoana alalana, ary fampitana angon-drakitra saro-pady.
LiteLLM Proxy SQL tsindrona (CVE-2026-42208)
Ny vulnerability SQL tsindrona manakiana (CVE-2026-42208) ao amin'ny singa proxy an'ny LiteLLM dia ahafahan'ny mpanafika handalo ny fanamarinana na miditra amin'ny fampahalalana angon-drakitra saro-pady amin'ny alàlan'ny fitrandrahana ny fizotran'ny fanamarinana fanalahidy API.
Ny loza ateraky ny fiarovana amin'ny Vibe Coding: Fanamarinana AI-Goed Code
Ny fiakaran'ny 'vibe coding'—manorina fampiharana amin'ny alàlan'ny bitsika haingana AI—dia mampiditra risika toy ny fahazoan-dàlana henjana sy ny lamina kaody tsy azo antoka. Satria ny maodely AI dia mety hanoro kaody mifototra amin'ny angon-drakitra fanofanana misy vulnerabilité, ny vokatra azony dia tsy maintsy raisina ho tsy azo itokisana sy hojerena amin'ny alalan'ny fitaovana fitiliana mandeha ho azy mba hisorohana ny fiparitahan'ny angona.
JWT Security: Ny loza ateraky ny mari-pamantarana tsy azo antoka sy ny fanamarinana ny fitakiana tsy hita
Ny JSON Web Tokens (JWTs) dia manome fenitra amin'ny famindrana fitakiana, saingy miankina amin'ny fanamarinana henjana ny fiarovana. Ny tsy fanamarinana ny sonia, ny fotoana lany daty, na ny mpihaino kendrena dia ahafahan'ny mpanafika handalo ny fanamarinana na mamerina ny famantarana.
Fiarovana ny Vercel Deployments: Fiarovana sy Lohahevitra tsara indrindra
Ity fikarohana ity dia mikaroka ireo tefy fiarovana ho an'ny fampiharana nampiantranoan'i Vercel, mifantoka amin'ny Fiarovana ny Deployment sy ny lohatenin'ny HTTP mahazatra. Hazavainy ny fomba iarovan'ireo endri-javatra ireo ny tontolon'ny fijerena mialoha sy ny fampiharana ny politikan'ny fiarovana amin'ny lafiny navigateur mba hisorohana ny fidirana tsy nahazoana alalana sy ny fanafihana tranonkala mahazatra.
Fandrotsahana baiko OS Critical ao amin'ny LibreNMS (CVE-2024-51092)
Ny dikan-teny LibreNMS hatramin'ny 24.9.1 dia misy vulnerability amin'ny baikon'ny OS (CVE-2024-51092). Ireo mpanafika voamarina dia afaka manatanteraka baiko tsy manara-penitra amin'ny rafitra mpampiantrano, mety hitarika ho amin'ny fahadisoam-panantenana tanteraka amin'ny fotodrafitrasa fanaraha-maso.
LiteLLM SQL Injections in Proxy API Fanamarinana fanalahidy (CVE-2026-42208)
LiteLLM version 1.81.16 ka hatramin'ny 1.83.6 dia misy vulnerability SQL tsindrona manakiana ao amin'ny lojika fanamarinana fanalahidy API Proxy. Ity lesoka ity dia ahafahan'ny mpanafika tsy voamarina handalo ny fanaraha-maso fanamarinana na miditra amin'ny angon-drakitra fototra. Ny olana dia voavaha amin'ny dikan-1.83.7.
Firebase Fitsipika fiarovana: Misoroka ny fampiharihariana angona tsy nahazoana alalana
Firebase Fitsipika fiarovana no fiarovana voalohany ho an'ny fampiharana tsy misy mpizara mampiasa Firestore sy Cloud Storage. Rehefa manome alalana loatra ireo fitsipika ireo, toy ny famelana ny fidirana amin'ny famakiana na fanoratana manerantany amin'ny famokarana, ny mpanafika dia afaka mandingana ny lojika fampiharana natao hangalarana na hamafa angona saro-pady. Ity fikarohana ity dia manadihady ny fandrindrana diso mahazatra, ny loza ateraky ny tsy mety amin'ny 'mode fitsapana', ary ny fomba fampiharana ny fanaraha-maso ny fidirana mifototra amin'ny maha-izy azy.
Fiarovana CSRF: Fiarovana amin'ny fanovana fanjakana tsy nahazoana alalana
Mijanona ho loza mitatao ho an'ny rindranasa tranonkala ny Cross-Site Request Forgery (CSRF). Ity fikarohana ity dia manadihady ny fomba ampiharan'ny rafitra maoderina toa an'i Django ny fiarovana sy ny fomba ahafahan'ny toetran'ny navigateur toy ny SameSite manome fiarovana amin'ny fangatahana tsy nahazoana alalana.
API Lisitra fanamarinana fiarovana: Zavatra 12 hojerena alohan'ny handehanana mivantana
Ny API no fototry ny rindranasa an-tranonkala maoderina saingy matetika tsy ampy ny fiarovana amin'ny endriny mahazatra. Ity lahatsoratra fikarohana ity dia manoritra lisitry ny fanamarinana ilaina amin'ny fiarovana ny API, mifantoka amin'ny fanaraha-maso ny fidirana, ny famerana ny tahan'ny, ary ny fifampizaràna loharanon-karena (CORS) mba hisorohana ny fandikana ny angona sy ny fanararaotana serivisy.
API Leakage Key: Loza sy Fanarenana amin'ny Apps Web Modern
Ny tsiambaratelon'ny kaody sarotra amin'ny kaody eo anoloana na ny tantaran'ny fitehirizana dia ahafahan'ny mpanafika haka tahaka ny serivisy, miditra amin'ny angona manokana ary mandany vola. Ity lahatsoratra ity dia mirakitra ny loza ateraky ny fivoahana miafina sy ny dingana ilaina amin'ny fanadiovana sy ny fisorohana.
CORS diso fanamboarana: Loza amin'ny politika mamela heloka be loatra
Cross-Origin Resource Sharing (CORS) dia rafitra mpitety tranonkala natao hanalefahana ny Same-Origin Policy (SOP). Na dia ilaina amin'ny fampiharana an-tranonkala maoderina aza, ny fampiharana tsy araka ny tokony ho izy—toy ny fananako ny lohatenin'ny Origin'ny mpangataka na ny fanaovana lisitra fotsy ny fiavian'ny 'null'—dia afaka mamela ireo tranonkala maloto hamoaka ny angon-drakitra mpampiasa manokana.
Fiarovana ny MVP: Misoroka ny fivoahan'ny angona amin'ny fampiharana SaaS AI
Ny fampiharana SaaS novolavolaina haingana dia matetika mijaly noho ny fanaraha-maso fiarovana. Ity fikarohana ity dia manadihady ny fomba nahatonga ireo tsiambaratelo tafaporitsaka sy ny fanaraha-maso ny fidirana tapaka, toy ny tsy fisian'ny Row Level Security (RLS), mamorona vulnerabilities misy fiantraikany lehibe amin'ny tranokala maoderina.