FixVibe

// vulnerability research

Vulnerability research for AI-built websites and apps.

Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.

Research articles summarize public vulnerability trends. Scan coverage is described only when a FixVibe check is already available.
34
published
34
live checks
34
matches
Latest researchCovered by FixVibecritical

ഗോസ്റ്റ് ഉള്ളടക്കത്തിലെ SQL കുത്തിവയ്പ്പ് API (CVE-2026-26980)

3.24.0 മുതൽ 6.19.0 വരെയുള്ള ഗോസ്റ്റ് പതിപ്പുകളിൽ API എന്ന ഉള്ളടക്കത്തിൽ ഒരു നിർണായക SQL ഇൻജക്ഷൻ ദുർബലത അടങ്ങിയിരിക്കുന്നു. ഇത് ആധികാരികതയില്ലാത്ത ആക്രമണകാരികളെ ഏകപക്ഷീയമായ SQL കമാൻഡുകൾ നടപ്പിലാക്കാൻ അനുവദിക്കുന്നു, ഇത് ഡാറ്റാ എക്‌സ്‌ഫിൽട്രേഷനിലേക്കോ അനധികൃത പരിഷ്‌ക്കരണങ്ങളിലേക്കോ നയിച്ചേക്കാം.

Read article

എല്ലാ research

34 articles

Covered by FixVibehighMay 15, 2026

ടെംപ്ലേറ്റ് ടാഗുകൾ (CVE-2016-7998) വഴി SPIP-ൽ റിമോട്ട് കോഡ് നിർവ്വഹണം

SPIP പതിപ്പുകൾ 3.1.2-ലും അതിനുമുമ്പും ടെംപ്ലേറ്റ് കമ്പോസറിൽ ഒരു അപകടസാധ്യത അടങ്ങിയിരിക്കുന്നു. സെർവറിൽ അനിയന്ത്രിതമായ PHP കോഡ് എക്സിക്യൂട്ട് ചെയ്യുന്നതിനായി ആധികാരിക ആക്രമണകാരികൾക്ക് ക്രാഫ്റ്റ് ചെയ്ത INCLUDE അല്ലെങ്കിൽ INCLURE ടാഗുകൾ ഉപയോഗിച്ച് HTML ഫയലുകൾ അപ്‌ലോഡ് ചെയ്യാൻ കഴിയും.

CVE-2016-7998CWE-20
View research
Covered by FixVibehighMay 15, 2026

ZoneMinder അപ്പാച്ചെ കോൺഫിഗറേഷൻ വിവര വെളിപ്പെടുത്തൽ (CVE-2016-10140)

ZoneMinder പതിപ്പുകൾ 1.29, 1.30 എന്നിവയെ ബണ്ടിൽ ചെയ്ത Apache HTTP സെർവർ തെറ്റായ കോൺഫിഗറേഷൻ ബാധിക്കുന്നു. ഈ പിഴവ് റിമോട്ട്, ആധികാരികതയില്ലാത്ത ആക്രമണകാരികളെ വെബ് റൂട്ട് ഡയറക്‌ടറി ബ്രൗസ് ചെയ്യാൻ അനുവദിക്കുന്നു, ഇത് സെൻസിറ്റീവ് വിവരങ്ങൾ വെളിപ്പെടുത്തുന്നതിനും പ്രാമാണീകരണം ബൈപാസിലേയ്‌ക്കും നയിച്ചേക്കാം.

CVE-2016-10140CWE-200
View research
Covered by FixVibemediumMay 15, 2026

Next.js സെക്യൂരിറ്റി ഹെഡർ തെറ്റായ കോൺഫിഗറേഷൻ next.config.js-ൽ

Next.js applications using next.config.js for header management are susceptible to security gaps if path-matching patterns are imprecise. വൈൽഡ്കാർഡും റീജക്‌സ് തെറ്റായ കോൺഫിഗറേഷനുകളും എങ്ങനെ സെൻസിറ്റീവ് റൂട്ടുകളിൽ സുരക്ഷാ തലക്കെട്ടുകൾ നഷ്‌ടപ്പെടുത്തുന്നുവെന്നും കോൺഫിഗറേഷൻ എങ്ങനെ കഠിനമാക്കാമെന്നും ഈ ഗവേഷണം പര്യവേക്ഷണം ചെയ്യുന്നു.

CWE-1021CWE-200
View research
Covered by FixVibemediumMay 15, 2026

അപര്യാപ്തമായ സുരക്ഷാ തലക്കെട്ട് കോൺഫിഗറേഷൻ

ക്രോസ്-സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് (XSS), ക്ലിക്ക്ജാക്കിംഗ്, ഡാറ്റാ കുത്തിവയ്പ്പ് എന്നിവയ്ക്ക് ഉപയോക്താക്കളെ തുറന്നുകാട്ടുന്നതിന് ആവശ്യമായ സുരക്ഷാ തലക്കെട്ടുകൾ നടപ്പിലാക്കുന്നതിൽ വെബ് ആപ്ലിക്കേഷനുകൾ പലപ്പോഴും പരാജയപ്പെടുന്നു. സ്ഥാപിതമായ വെബ് സുരക്ഷാ മാർഗ്ഗനിർദ്ദേശങ്ങൾ പാലിക്കുന്നതിലൂടെയും MDN ഒബ്സർവേറ്ററി പോലെയുള്ള ഓഡിറ്റിംഗ് ടൂളുകൾ ഉപയോഗിക്കുന്നതിലൂടെയും, സാധാരണ ബ്രൗസർ അടിസ്ഥാനമാക്കിയുള്ള ആക്രമണങ്ങൾക്കെതിരെ ഡവലപ്പർമാർക്ക് അവരുടെ ആപ്ലിക്കേഷനുകൾ ഗണ്യമായി കഠിനമാക്കാൻ കഴിയും.

CWE-693
View research
Covered by FixVibehighMay 15, 2026

OWASP ദ്രുത വെബ് വികസനത്തിലെ പ്രധാന 10 അപകടസാധ്യതകൾ ലഘൂകരിക്കുന്നു

ഇൻഡി ഹാക്കർമാരും ചെറിയ ടീമുകളും വേഗത്തിലുള്ള ഷിപ്പിംഗ് ചെയ്യുമ്പോൾ, പ്രത്യേകിച്ച് AI- ജനറേറ്റഡ് കോഡ് ഉപയോഗിച്ച് സവിശേഷമായ സുരക്ഷാ വെല്ലുവിളികൾ അഭിമുഖീകരിക്കുന്നു. ഈ ഗവേഷണം CWE ടോപ്പ് 25, OWASP വിഭാഗങ്ങളിൽ നിന്നുള്ള ആവർത്തിച്ചുള്ള അപകടസാധ്യതകൾ എടുത്തുകാണിക്കുന്നു, തകർന്ന ആക്സസ് നിയന്ത്രണവും സുരക്ഷിതമല്ലാത്ത കോൺഫിഗറേഷനുകളും ഉൾപ്പെടെ, ഓട്ടോമേറ്റഡ് സെക്യൂരിറ്റി ചെക്കുകൾക്ക് അടിത്തറ നൽകുന്നു.

CWE-285CWE-79CWE-89
View research
Covered by FixVibemediumMay 15, 2026

AI-ജനറേറ്റഡ് ആപ്ലിക്കേഷനുകളിലെ സുരക്ഷിതമല്ലാത്ത HTTP ഹെഡർ കോൺഫിഗറേഷനുകൾ

AI അസിസ്റ്റൻ്റുമാർ സൃഷ്‌ടിക്കുന്ന ആപ്ലിക്കേഷനുകൾക്ക് അത്യാവശ്യമായ HTTP സുരക്ഷാ തലക്കെട്ടുകൾ ഇല്ല, ആധുനിക സുരക്ഷാ മാനദണ്ഡങ്ങൾ പാലിക്കുന്നതിൽ പരാജയപ്പെടുന്നു. ഈ ഒഴിവാക്കൽ വെബ് ആപ്ലിക്കേഷനുകളെ സാധാരണ ക്ലയൻ്റ് സൈഡ് ആക്രമണത്തിന് ഇരയാക്കുന്നു. മോസില്ല HTTP ഒബ്സർവേറ്ററി പോലുള്ള ബെഞ്ച്മാർക്കുകൾ ഉപയോഗിക്കുന്നതിലൂടെ, ഡെവലപ്പർമാർക്ക് അവരുടെ ആപ്ലിക്കേഷൻ്റെ സുരക്ഷാ പോസ്ചർ മെച്ചപ്പെടുത്തുന്നതിന് CSP, HSTS എന്നിവ പോലുള്ള നഷ്‌ടമായ പരിരക്ഷകൾ തിരിച്ചറിയാനാകും.

CWE-693
View research
Covered by FixVibehighMay 15, 2026

ക്രോസ്-സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് (XSS) കേടുപാടുകൾ കണ്ടെത്തുകയും തടയുകയും ചെയ്യുക

Cross-Site Scripting (XSS) occurs when an application includes untrusted data in a web page without proper validation or encoding. ഇരയുടെ ബ്രൗസറിൽ ക്ഷുദ്രകരമായ സ്ക്രിപ്റ്റുകൾ എക്സിക്യൂട്ട് ചെയ്യാൻ ഇത് ആക്രമണകാരികളെ അനുവദിക്കുന്നു, ഇത് സെഷൻ ഹൈജാക്കിംഗ്, അനധികൃത പ്രവർത്തനങ്ങൾ, സെൻസിറ്റീവ് ഡാറ്റ എക്സ്പോഷർ എന്നിവയിലേക്ക് നയിക്കുന്നു.

CWE-79
View research
Covered by FixVibecriticalMay 15, 2026

LiteLLM പ്രോക്സി SQL ഇഞ്ചക്ഷൻ (CVE-2026-42208)

LiteLLM-ൻ്റെ പ്രോക്‌സി ഘടകത്തിലെ ഒരു നിർണായക SQL ഇഞ്ചക്ഷൻ വൾനറബിലിറ്റി (CVE-2026-42208) ആക്രമണകാരികളെ API കീ വെരിഫിക്കേഷൻ പ്രോസസ് ചൂഷണം ചെയ്തുകൊണ്ട് ആധികാരികത ഒഴിവാക്കാനോ സെൻസിറ്റീവ് ഡാറ്റാബേസ് വിവരങ്ങൾ ആക്‌സസ് ചെയ്യാനോ അനുവദിക്കുന്നു.

CVE-2026-42208GHSA-r75f-5x8p-qvmcCWE-89
View research
Covered by FixVibemediumMay 15, 2026

വൈബ് കോഡിംഗിൻ്റെ സുരക്ഷാ അപകടസാധ്യതകൾ: ഓഡിറ്റിംഗ് AI-ജനറേറ്റഡ് കോഡ്

'വൈബ് കോഡിംഗിൻ്റെ' ഉയർച്ച-പ്രാഥമികമായി ദ്രുതഗതിയിലുള്ള AI പ്രോംപ്റ്റിംഗിലൂടെ ആപ്ലിക്കേഷനുകൾ നിർമ്മിക്കുന്നത്- ഹാർഡ്കോഡഡ് ക്രെഡൻഷ്യലുകളും സുരക്ഷിതമല്ലാത്ത കോഡ് പാറ്റേണുകളും പോലുള്ള അപകടസാധ്യതകൾ അവതരിപ്പിക്കുന്നു. AI മോഡലുകൾ കേടുപാടുകൾ അടങ്ങിയ പരിശീലന ഡാറ്റയെ അടിസ്ഥാനമാക്കി കോഡ് നിർദ്ദേശിച്ചേക്കാം എന്നതിനാൽ, അവയുടെ ഔട്ട്പുട്ട് വിശ്വസനീയമല്ലാത്തതായി കണക്കാക്കുകയും ഡാറ്റ എക്സ്പോഷർ തടയുന്നതിന് ഓട്ടോമേറ്റഡ് സ്കാനിംഗ് ടൂളുകൾ ഉപയോഗിച്ച് ഓഡിറ്റ് ചെയ്യുകയും വേണം.

CWE-798CWE-200CWE-693
View research
Covered by FixVibehighMay 15, 2026

JWT സുരക്ഷ: സുരക്ഷിതമല്ലാത്ത ടോക്കണുകളുടെ അപകടസാധ്യതകളും ക്ലെയിം മൂല്യനിർണ്ണയം നഷ്‌ടപ്പെടുകയും ചെയ്യുന്നു

JSON വെബ് ടോക്കണുകൾ (JWTs) ക്ലെയിമുകൾ കൈമാറുന്നതിനുള്ള ഒരു മാനദണ്ഡം നൽകുന്നു, എന്നാൽ സുരക്ഷ കർശനമായ മൂല്യനിർണ്ണയത്തെ ആശ്രയിച്ചിരിക്കുന്നു. ഒപ്പുകൾ, കാലഹരണപ്പെടുന്ന സമയം, അല്ലെങ്കിൽ ഉദ്ദേശിച്ച പ്രേക്ഷകർ എന്നിവ പരിശോധിക്കുന്നതിൽ പരാജയപ്പെടുന്നത്, ആധികാരികതയെ മറികടക്കാനോ ടോക്കണുകൾ റീപ്ലേ ചെയ്യാനോ ആക്രമണകാരികളെ അനുവദിക്കുന്നു.

CWE-347CWE-287CWE-613
View research
Covered by FixVibemediumMay 15, 2026

Vercel വിന്യാസങ്ങൾ സുരക്ഷിതമാക്കൽ: സംരക്ഷണവും തലക്കെട്ടും മികച്ച രീതികൾ

ഈ ഗവേഷണം Vercel-ഹോസ്‌റ്റുചെയ്‌ത അപ്ലിക്കേഷനുകൾക്കായുള്ള സുരക്ഷാ കോൺഫിഗറേഷനുകൾ പര്യവേക്ഷണം ചെയ്യുന്നു, വിന്യാസ പരിരക്ഷയിലും ഇഷ്‌ടാനുസൃത HTTP തലക്കെട്ടുകളിലും ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നു. ഈ ഫീച്ചറുകൾ പ്രിവ്യൂ എൻവയോൺമെൻ്റുകളെ എങ്ങനെ സംരക്ഷിക്കുന്നുവെന്നും അനധികൃത ആക്‌സസ്സും പൊതുവായ വെബ് ആക്രമണങ്ങളും തടയുന്നതിന് ബ്രൗസർ സുരക്ഷാ നയങ്ങൾ നടപ്പിലാക്കുന്നത് എങ്ങനെയെന്ന് ഇത് വിശദീകരിക്കുന്നു.

CWE-16CWE-693
View research
Covered by FixVibecriticalMay 14, 2026

LibreNMS (CVE-2024-51092) ലെ ക്രിട്ടിക്കൽ ഒഎസ് കമാൻഡ് ഇൻജക്ഷൻ

24.9.1 വരെയുള്ള LibreNMS പതിപ്പുകളിൽ ഒരു നിർണായക OS കമാൻഡ് ഇൻജക്ഷൻ ദുർബലത (CVE-2024-51092) അടങ്ങിയിരിക്കുന്നു. ആധികാരിക ആക്രമണകാരികൾക്ക് ഹോസ്റ്റ് സിസ്റ്റത്തിൽ അനിയന്ത്രിതമായ കമാൻഡുകൾ നടപ്പിലാക്കാൻ കഴിയും, ഇത് മോണിറ്ററിംഗ് ഇൻഫ്രാസ്ട്രക്ചറിൻ്റെ സമ്പൂർണ്ണ വിട്ടുവീഴ്ചയിലേക്ക് നയിച്ചേക്കാം.

CVE-2024-51092GHSA-x645-6pf9-xwxwCWE-78
View research
Covered by FixVibecriticalMay 14, 2026

പ്രോക്സി API കീ പരിശോധനയിൽ LiteLLM SQL കുത്തിവയ്പ്പ് (CVE-2026-42208)

LiteLLM പതിപ്പുകൾ 1.81.16 മുതൽ 1.83.6 വരെ പ്രോക്സി API കീ വെരിഫിക്കേഷൻ ലോജിക്കിൽ ഒരു നിർണായക SQL ഇൻജക്ഷൻ ദുർബലത അടങ്ങിയിരിക്കുന്നു. ആധികാരികതയില്ലാത്ത ആക്രമണകാരികളെ പ്രാമാണീകരണ നിയന്ത്രണങ്ങൾ മറികടക്കാനോ അടിസ്ഥാന ഡാറ്റാബേസ് ആക്‌സസ് ചെയ്യാനോ ഈ പിഴവ് അനുവദിക്കുന്നു. 1.83.7 പതിപ്പിൽ പ്രശ്നം പരിഹരിച്ചു.

CVE-2026-42208GHSA-r75f-5x8p-qvmcCWE-89
View research
Covered by FixVibehighMay 14, 2026

Firebase സുരക്ഷാ നിയമങ്ങൾ: അനധികൃത ഡാറ്റ എക്സ്പോഷർ തടയൽ

Firebase സുരക്ഷാ നിയമങ്ങൾ ഫയർസ്റ്റോറും ക്ലൗഡ് സ്റ്റോറേജും ഉപയോഗിക്കുന്ന സെർവർലെസ് ആപ്ലിക്കേഷനുകൾക്കുള്ള പ്രാഥമിക പ്രതിരോധമാണ്. ഉൽപ്പാദനത്തിൽ ആഗോള വായന അല്ലെങ്കിൽ എഴുത്ത് ആക്സസ് അനുവദിക്കുന്നത് പോലുള്ള ഈ നിയമങ്ങൾ വളരെ അനുവദനീയമായിരിക്കുമ്പോൾ, ആക്രമണകാരികൾക്ക് സെൻസിറ്റീവ് ഡാറ്റ മോഷ്ടിക്കാനോ ഇല്ലാതാക്കാനോ ഉദ്ദേശിച്ച ആപ്ലിക്കേഷൻ ലോജിക് മറികടക്കാൻ കഴിയും. ഈ ഗവേഷണം പൊതുവായ തെറ്റായ കോൺഫിഗറേഷനുകൾ, 'ടെസ്റ്റ് മോഡ്' ഡിഫോൾട്ടുകളുടെ അപകടസാധ്യതകൾ, ഐഡൻ്റിറ്റി അധിഷ്‌ഠിത ആക്‌സസ് കൺട്രോൾ എങ്ങനെ നടപ്പിലാക്കാം എന്നിവ പര്യവേക്ഷണം ചെയ്യുന്നു.

CWE-284CWE-863
View research
Covered by FixVibehighMay 13, 2026

CSRF സംരക്ഷണം: അനധികൃത സംസ്ഥാന മാറ്റങ്ങൾക്കെതിരെ പ്രതിരോധം

ക്രോസ്-സൈറ്റ് റിക്വസ്റ്റ് ഫോർജറി (CSRF) വെബ് ആപ്ലിക്കേഷനുകൾക്ക് ഒരു പ്രധാന ഭീഷണിയായി തുടരുന്നു. ജാംഗോ പോലുള്ള ആധുനിക ചട്ടക്കൂടുകൾ എങ്ങനെയാണ് പരിരക്ഷ നടപ്പിലാക്കുന്നത് എന്നും SameSite പോലുള്ള ബ്രൗസർ ലെവൽ ആട്രിബ്യൂട്ടുകൾ അനധികൃത അഭ്യർത്ഥനകൾക്കെതിരെ ആഴത്തിലുള്ള പ്രതിരോധം നൽകുന്നത് എങ്ങനെ എന്നും ഈ ഗവേഷണം പര്യവേക്ഷണം ചെയ്യുന്നു.

CWE-352
View research
Covered by FixVibemediumMay 13, 2026

API സെക്യൂരിറ്റി ചെക്ക്‌ലിസ്റ്റ്: തത്സമയമാകുന്നതിന് മുമ്പ് പരിശോധിക്കേണ്ട 12 കാര്യങ്ങൾ

API-കൾ ആധുനിക വെബ് ആപ്ലിക്കേഷനുകളുടെ നട്ടെല്ലാണ്, പക്ഷേ പലപ്പോഴും പരമ്പരാഗത ഫ്രണ്ടൻഡുകളുടെ സുരക്ഷാ കാഠിന്യം ഇല്ല. ഡാറ്റാ ലംഘനങ്ങളും സേവന ദുരുപയോഗവും തടയുന്നതിന് ആക്‌സസ് കൺട്രോൾ, റേറ്റ് ലിമിറ്റിംഗ്, ക്രോസ്-ഓറിജിൻ റിസോഴ്‌സ് ഷെയറിങ് (CORS) എന്നിവയിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്ന API-കൾ സുരക്ഷിതമാക്കുന്നതിനുള്ള ഒരു അവശ്യ ചെക്ക്‌ലിസ്റ്റ് ഈ ഗവേഷണ ലേഖനം നൽകുന്നു.

CWE-285CWE-799CWE-942
View research
Covered by FixVibehighMay 13, 2026

API കീ ചോർച്ച: ആധുനിക വെബ് ആപ്പുകളിലെ അപകടസാധ്യതകളും പരിഹാരവും

ഫ്രണ്ട്എൻഡ് കോഡ് അല്ലെങ്കിൽ റിപ്പോസിറ്ററി ഹിസ്റ്ററിയിലെ ഹാർഡ്-കോഡഡ് രഹസ്യങ്ങൾ ആക്രമണകാരികളെ സേവനങ്ങൾ ആൾമാറാട്ടം ചെയ്യാനും സ്വകാര്യ ഡാറ്റ ആക്‌സസ് ചെയ്യാനും ചെലവുകൾ വരുത്താനും അനുവദിക്കുന്നു. ഈ ലേഖനം രഹസ്യ ചോർച്ചയുടെ അപകടസാധ്യതകളും ശുചീകരണത്തിനും പ്രതിരോധത്തിനുമുള്ള ആവശ്യമായ നടപടികളും ഉൾക്കൊള്ളുന്നു.

CWE-798
View research
Covered by FixVibehighMay 13, 2026

CORS തെറ്റായ കോൺഫിഗറേഷൻ: അമിതമായി അനുവദനീയമായ നയങ്ങളുടെ അപകടസാധ്യതകൾ

ക്രോസ്-ഒറിജിൻ റിസോഴ്സ് ഷെയറിംഗ് (CORS) എന്നത് ഒരേ ഒറിജിൻ പോളിസിയിൽ (SOP) ഇളവ് വരുത്താൻ രൂപകൽപ്പന ചെയ്ത ഒരു ബ്രൗസർ സംവിധാനമാണ്. ആധുനിക വെബ് ആപ്പുകൾക്ക് ആവശ്യമാണെങ്കിലും, അഭ്യർത്ഥനയുടെ ഒറിജിൻ ഹെഡർ പ്രതിധ്വനിപ്പിക്കുന്നതോ 'ശൂന്യമായ' ഉത്ഭവം വൈറ്റ്‌ലിസ്റ്റ് ചെയ്യുന്നതോ പോലുള്ള അനുചിതമായ നിർവ്വഹണം, സ്വകാര്യ ഉപയോക്തൃ ഡാറ്റ ചോർത്താൻ ക്ഷുദ്ര സൈറ്റുകളെ അനുവദിക്കും.

CWE-942
View research
Covered by FixVibehighMay 13, 2026

MVP സുരക്ഷിതമാക്കൽ: AI-ജനറേറ്റഡ് SaaS ആപ്പുകളിലെ ഡാറ്റ ചോർച്ച തടയൽ

അതിവേഗം വികസിപ്പിച്ച SaaS ആപ്ലിക്കേഷനുകൾ പലപ്പോഴും ഗുരുതരമായ സുരക്ഷാ മേൽനോട്ടം വഹിക്കുന്നു. ചോർന്ന രഹസ്യങ്ങളും, നഷ്ടപ്പെട്ട റോ ലെവൽ സെക്യൂരിറ്റി (RLS) പോലെയുള്ള തകർന്ന ആക്സസ് നിയന്ത്രണങ്ങളും, ആധുനിക വെബ് സ്റ്റാക്കുകളിൽ ഉയർന്ന സ്വാധീനമുള്ള കേടുപാടുകൾ സൃഷ്ടിക്കുന്നത് എങ്ങനെയെന്ന് ഈ ഗവേഷണം പര്യവേക്ഷണം ചെയ്യുന്നു.

CWE-284CWE-798CWE-668
View research