// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
Сүнс контент дахь SQL тарилга API (CVE-2026-26980)
3.24.0-аас 6.19.0 хүртэлх Ghost хувилбарууд нь API Контент дахь SQL тарилгын чухал эмзэг байдлыг агуулдаг. Энэ нь баталгаажуулаагүй халдагчид SQL-ийн дур зоргоороо тушаалуудыг гүйцэтгэх боломжийг олгодог бөгөөд энэ нь өгөгдлийг гадагшлуулах эсвэл зөвшөөрөлгүй өөрчлөхөд хүргэж болзошгүй юм.
Бүх research
34 articles
Загварын шошго (CVE-2016-7998) ашиглан SPIP дээр алсын зайнаас код гүйцэтгэх
SPIP 3.1.2 ба түүнээс өмнөх хувилбарууд нь загвар зохиогчийн сул талтай. Баталгаажсан халдагчид сервер дээр дурын PHP кодыг ажиллуулахын тулд INCLUDE эсвэл INCLURE шошготой HTML файлуудыг байршуулж болно.
ZoneMinder Apache тохиргооны мэдээллийн тодруулга (CVE-2016-10140)
ZoneMinder 1.29 ба 1.30 хувилбарууд нь багцалсан Apache HTTP серверийн буруу тохиргоонд өртсөн. Энэ дутагдал нь алсаас, танигдаагүй халдагчдад вэбийн үндсэн лавлахыг үзэх боломжийг олгож, нууц мэдээллийг задруулах, баталгаажуулалтыг тойрч гарахад хүргэж болзошгүй юм.
Next.js Next.config.js дээрх аюулгүй байдлын толгой хэсгийн буруу тохиргоо
Толгойн удирдлагад next.config.js ашигладаг Next.js программууд зам тааруулах загвар тодорхой бус байвал аюулгүй байдлын цоорхойд өртөмтгий байдаг. Энэхүү судалгаа нь орлуулагч тэмдэгт болон regex-ийн буруу тохиргоо нь эмзэг маршрутууд дээр аюулгүй байдлын гарчиг алга болоход хүргэдэг ба тохиргоог хэрхэн хатууруулах талаар судалдаг.
Аюулгүй байдлын толгой хэсгийн тохиргоо хангалтгүй
Вэб програмууд нь ихэвчлэн аюулгүй байдлын үндсэн хэсгийг хэрэгжүүлж чаддаггүй тул хэрэглэгчид сайт хоорондын скрипт (XSS), товшилт хийх, өгөгдөл оруулах зэрэгт өртдөг. Тогтсон вэбийн аюулгүй байдлын удирдамжийг дагаж, MDN Observatory гэх мэт аудитын хэрэгслийг ашигласнаар хөгжүүлэгчид нийтлэг хөтөч дээр суурилсан халдлагын эсрэг програмуудаа ихээхэн хатууруулах боломжтой.
OWASP Шуурхай вэб хөгжүүлэлтийн шилдэг 10 эрсдэлийг бууруулах
Инди хакерууд болон жижиг багууд хурдан тээвэрлэх, ялангуяа AI-ээр үүсгэгдсэн кодыг ашиглах үед аюулгүй байдлын өвөрмөц сорилтуудтай тулгардаг. Энэхүү судалгаа нь CWE Шилдэг 25 ба OWASP ангиллын эрсдэлийг онцолж, эвдэрсэн хандалтын хяналт, аюулгүй бус тохиргоо зэрэг нь автоматжуулсан аюулгүй байдлын шалгалтын үндэс суурийг тавьсан.
AI-ээр үүсгэгдсэн програмууд дахь аюулгүй бус HTTP толгойн тохиргоо
AI туслахуудын үүсгэсэн программууд нь орчин үеийн аюулгүй байдлын стандартыг хангаж чадахгүй байгаа HTTP аюулгүй байдлын үндсэн толгойн мэдээлэлгүй байдаг. Энэ орхигдуулсан нь вэб програмуудыг үйлчлүүлэгчийн нийтлэг халдлагад өртөмтгий болгодог. Mozilla HTTP Observatory гэх мэт жишиг үзүүлэлтүүдийг ашигласнаар хөгжүүлэгчид CSP, HSTS зэрэг дутуу хамгаалалтуудыг илрүүлж, програмынхаа аюулгүй байдлын байдлыг сайжруулах боломжтой.
Сайт хоорондын скриптийг илрүүлэх, урьдчилан сэргийлэх (XSS) эмзэг байдлыг
Сайт хоорондын скрипт (XSS) нь хэрэглүүр нь зохих баталгаажуулалт, кодчилолгүйгээр вэб хуудсанд найдваргүй өгөгдлийг оруулсан тохиолдолд үүсдэг. Энэ нь халдагчдад хохирогчийн хөтөч дээр хортой скрипт ажиллуулах боломжийг олгодог бөгөөд энэ нь сесс хулгайлах, зөвшөөрөлгүй үйлдэл хийх, нууц мэдээллийг задруулахад хүргэдэг.
LiteLLM Proxy SQL Injection (CVE-2026-42208)
LiteLLM-ийн прокси бүрэлдэхүүн хэсэг дэх чухал SQL тарилгын эмзэг байдал (CVE-2026-42208) нь халдагчдад API түлхүүр баталгаажуулах процессыг ашиглан нэвтрэлт танилтыг тойрч гарах эсвэл мэдээллийн сангийн нууц мэдээлэлд хандах боломжийг олгодог.
Vibe кодчилолын аюулгүй байдлын эрсдэл: AI-ийн үүсгэсэн кодын аудит
AI-ийг хурдан шуурхай өдөөх замаар хэрэглүүр бүтээх 'vibe кодчилол'-ын өсөлт нь хатуу кодлогдсон итгэмжлэл, аюулгүй кодын загвар зэрэг эрсдэлүүдийг бий болгож байна. AI загварууд нь сул талуудыг агуулсан сургалтын өгөгдөлд суурилсан кодыг санал болгож болох тул тэдгээрийн гаралтыг найдвартай биш гэж үзэж, өгөгдөлд өртөхөөс урьдчилан сэргийлэхийн тулд автомат сканнерын хэрэгслээр аудит хийх ёстой.
JWT Аюулгүй байдал: Баталгаагүй жетон болон нэхэмжлэлийн баталгаажуулалт дутуу байх эрсдэл
JSON Web Tokens (JWTs) нь нэхэмжлэлийг шилжүүлэх стандартыг хангадаг боловч аюулгүй байдал нь нарийн баталгаажуулалтаас хамаардаг. Гарын үсэг, хугацаа дуусах хугацаа эсвэл зорьсон үзэгчдийг баталгаажуулаагүй нь халдагчдад таниулалтыг алгасах эсвэл жетонуудыг дахин тоглуулах боломжийг олгодог.
Vercel байршуулалтыг хамгаалах: Хамгаалалт ба толгойн шилдэг туршлагууд
Энэхүү судалгаа нь Vercel-д байршуулсан програмуудын аюулгүй байдлын тохиргоог судалж, Байршуулах хамгаалалт болон өөрчлөн тохируулсан HTTP толгой хэсэгт анхаарлаа хандуулсан. Энэ нь эдгээр функцууд нь урьдчилан харах орчныг хэрхэн хамгаалж, зөвшөөрөлгүй хандалт болон нийтлэг вэб халдлагаас урьдчилан сэргийлэхийн тулд хөтчийн аюулгүй байдлын бодлогыг хэрэгжүүлэх талаар тайлбарладаг.
LibreNMS (CVE-2024-51092) дахь үйлдлийн системийн чухал командын тарилга
LibreNMS-ийн 24.9.1 хүртэлх хувилбарууд нь үйлдлийн системийн командын тарилгын чухал сул талыг (CVE-2024-51092) агуулдаг. Баталгаажсан халдагчид хост систем дээр дурын командуудыг гүйцэтгэх боломжтой бөгөөд энэ нь хяналтын дэд бүтцийг бүхэлд нь эвдэхэд хүргэж болзошгүй юм.
Proxy дэх LiteLLM SQL Injection API Түлхүүр баталгаажуулалт (CVE-2026-42208)
LiteLLM-ийн 1.81.16-аас 1.83.6 хүртэлх хувилбарууд нь Proxy API түлхүүр баталгаажуулалтын логик дахь SQL тарилгын чухал эмзэг байдлыг агуулдаг. Энэ дутагдал нь танигдаагүй халдагчдад баталгаажуулалтын хяналтыг тойрч гарах эсвэл үндсэн мэдээллийн санд хандах боломжийг олгодог. Асуудлыг 1.83.7 хувилбараар шийдсэн.
Firebase Аюулгүй байдлын дүрэм: Зөвшөөрөлгүй өгөгдөлд өртөхөөс урьдчилан сэргийлэх
Firebase Аюулгүй байдлын дүрмүүд нь Firestore болон Cloud Storage ашигладаг сервергүй програмуудын үндсэн хамгаалалт юм. Эдгээр дүрмүүд нь үйлдвэрлэлд дэлхийн хэмжээнд унших, бичих хандалтыг зөвшөөрөх зэрэг хэт зөвшөөрөгдсөн тохиолдолд халдагчид эмзэг өгөгдлийг хулгайлах эсвэл устгах зорилготой програмын логикийг тойрч гарах боломжтой. Энэхүү судалгаа нь нийтлэг буруу тохируулга, "туршилтын горим"-ын өгөгдмөл байдлын эрсдэл, танилтад суурилсан хандалтын хяналтыг хэрхэн хэрэгжүүлэх талаар судалсан.
CSRF-ийн хамгаалалт: Төрийн зөвшөөрөлгүй өөрчлөлтөөс хамгаалах
Сайт хоорондын хүсэлтийг хуурамчаар үйлдэх (CSRF) нь вэб програмуудад ихээхэн аюул заналхийлсэн хэвээр байна. Энэхүү судалгаа нь Django гэх мэт орчин үеийн фрэймворкууд хамгаалалтыг хэрхэн хэрэгжүүлдэг, SameSite зэрэг хөтчийн түвшний шинж чанарууд нь зөвшөөрөлгүй хүсэлтээс хэрхэн гүн хамгаалалтаар хангадаг талаар судалсан.
API Аюулгүй байдлын хяналтын хуудас: Шууд дамжуулахын өмнө шалгах 12 зүйл
API-ууд нь орчин үеийн вэб програмуудын үндэс суурь болдог боловч ихэнхдээ уламжлалт урд талын аюулгүй байдлын хатуу шаардлага хангаагүй байдаг. Энэхүү судалгааны өгүүлэл нь API-ийн аюулгүй байдлыг хангах, хандалтын хяналт, хурдны хязгаарлалт, эх сурвалж хоорондын нөөц хуваалцах (CORS) зэрэгт анхаарлаа төвлөрүүлж, өгөгдөл зөрчих, үйлчилгээг урвуулан ашиглахаас урьдчилан сэргийлэхэд чухал ач холбогдолтой шалгах хуудсыг тоймлон харуулав.
API Гол алдагдлыг: Орчин үеийн вэб програм дахь эрсдэл ба засвар
Урд талын код эсвэл репозиторын түүхэн дэх хатуу кодлогдсон нууц нь халдагчдад үйлчилгээний дүр эсгэх, хувийн өгөгдөлд хандах, зардал гаргах боломжийг олгодог. Энэ нийтлэлд нууц задрах эрсдэл, цэвэрлэх, урьдчилан сэргийлэхэд шаардлагатай алхмуудыг багтаасан болно.
CORS Буруу тохируулга: Хэтэрхий зөвшөөрөгдсөн бодлогын эрсдэл
Cross-Origin Resource Sharing (CORS) нь ижил гарал үүслийн бодлогыг (SOP) зөөлрүүлэх зорилготой хөтчийн механизм юм. Орчин үеийн вэб аппликейшнд шаардлагатай хэдий ч хүсэлт гаргагчийн гарал үүслийн толгой хэсгийг цуурайтах эсвэл 'null' гарал үүслийг цагаан жагсаалтад оруулах гэх мэт зохисгүй хэрэгжүүлэлт нь хортой сайтуудад хувийн хэрэглэгчийн өгөгдлийг задлах боломжийг олгодог.
MVP-ийг хамгаалах: AI-ээр үүсгэгдсэн SaaS програмуудад мэдээлэл алдагдахаас урьдчилан сэргийлэх
Хурдан хөгжсөн SaaS програмууд нь аюулгүй байдлын ноцтой хяналтаас ихэвчлэн зовдог. Энэхүү судалгаа нь алдагдсан мөрийн түвшний хамгаалалт (RLS) зэрэг задруулсан нууцууд болон эвдэрсэн хандалтын хяналтууд нь орчин үеийн вэб стекүүдэд хэрхэн өндөр нөлөөллийн эмзэг байдлыг бий болгож байгааг судлах болно.