// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
भूत सामग्रीमध्ये SQL इंजेक्शन API (CVE-2026-26980)
भूत आवृत्त्या 3.24.0 ते 6.19.0 मध्ये API सामग्रीमध्ये गंभीर SQL इंजेक्शन भेद्यता आहे. हे अनधिकृत आक्रमणकर्त्यांना अनियंत्रित SQL आदेश कार्यान्वित करण्यास अनुमती देते, ज्यामुळे संभाव्यत: डेटा एक्सफिल्टेशन किंवा अनधिकृत बदल होतात.
सर्व research
34 articles
टेम्प्लेट टॅग्ज (CVE-2016-7998) द्वारे SPIP मध्ये रिमोट कोड एक्झिक्यूशन
SPIP आवृत्त्या 3.1.2 आणि त्यापूर्वीच्या टेम्प्लेट कंपोजरमध्ये भेद्यता आहे. सर्व्हरवर अनियंत्रित PHP कोड कार्यान्वित करण्यासाठी प्रमाणीकृत आक्रमणकर्ते क्राफ्ट केलेल्या समावेश किंवा समावेश टॅगसह HTML फाइल अपलोड करू शकतात.
झोनमाइंडर अपाचे कॉन्फिगरेशन माहिती प्रकटन (CVE-2016-10140)
ZoneMinder आवृत्ती 1.29 आणि 1.30 बंडल केलेल्या Apache HTTP सर्व्हरच्या चुकीच्या कॉन्फिगरेशनमुळे प्रभावित होतात. हा दोष दूरस्थ, अप्रमाणित आक्रमणकर्त्यांना वेब रूट निर्देशिका ब्राउझ करण्यास अनुमती देतो, ज्यामुळे संवेदनशील माहिती प्रकटीकरण आणि प्रमाणीकरण बायपास होण्याची शक्यता असते.
Next.js सुरक्षा शीर्षलेख next.config.js मध्ये चुकीचे कॉन्फिगरेशन
हेडर मॅनेजमेंटसाठी next.config.js वापरणारे Next.js ऍप्लिकेशन्स जर पाथ जुळणारे पॅटर्न अशुद्ध असतील तर ते सुरक्षिततेच्या अंतरासाठी संवेदनाक्षम असतात. हे संशोधन वाइल्डकार्ड आणि रेजेक्स चुकीच्या कॉन्फिगरेशनमुळे संवेदनशील मार्गांवर सुरक्षा शीर्षलेख कसे गहाळ होते आणि कॉन्फिगरेशन कसे कठोर करावे हे शोधते.
अपुरी सुरक्षा शीर्षलेख कॉन्फिगरेशन
वेब ऍप्लिकेशन्स अनेकदा आवश्यक सुरक्षा शीर्षलेख लागू करण्यात अयशस्वी होतात, ज्यामुळे वापरकर्त्यांना क्रॉस-साइट स्क्रिप्टिंग (XSS), क्लिकजॅकिंग आणि डेटा इंजेक्शनच्या संपर्कात येते. स्थापित वेब सुरक्षा मार्गदर्शक तत्त्वांचे पालन करून आणि MDN वेधशाळा सारख्या ऑडिटिंग साधनांचा वापर करून, विकासक सामान्य ब्राउझर-आधारित हल्ल्यांविरूद्ध त्यांचे अनुप्रयोग लक्षणीयरीत्या कठोर करू शकतात.
रॅपिड वेब डेव्हलपमेंटमधील OWASP शीर्ष 10 जोखीम कमी करणे
विशेषत: AI-व्युत्पन्न कोडसह, जलद शिपिंग करताना इंडी हॅकर्स आणि लहान संघांना अनेकदा अद्वितीय सुरक्षा आव्हानांचा सामना करावा लागतो. हे संशोधन CWE Top 25 आणि OWASP श्रेणींमधील आवर्ती जोखीम हायलाइट करते, ज्यामध्ये तुटलेले प्रवेश नियंत्रण आणि असुरक्षित कॉन्फिगरेशन यांचा समावेश आहे, ज्यामुळे स्वयंचलित सुरक्षा तपासणीसाठी पाया उपलब्ध आहे.
AI-व्युत्पन्न अनुप्रयोगांमध्ये असुरक्षित HTTP शीर्षलेख कॉन्फिगरेशन
AI सहाय्यकांद्वारे व्युत्पन्न केलेल्या अनुप्रयोगांमध्ये वारंवार आवश्यक HTTP सुरक्षा शीर्षलेख नसतात, आधुनिक सुरक्षा मानकांची पूर्तता करण्यात अयशस्वी. हे वगळणे वेब अनुप्रयोगांना सामान्य क्लायंट-साइड हल्ल्यांना असुरक्षित ठेवते. Mozilla HTTP वेधशाळा सारख्या बेंचमार्कचा वापर करून, विकासक त्यांच्या ऍप्लिकेशनची सुरक्षा स्थिती सुधारण्यासाठी CSP आणि HSTS सारखी हरवलेली संरक्षणे ओळखू शकतात.
क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता शोधणे आणि प्रतिबंधित करणे
क्रॉस-साइट स्क्रिप्टिंग (XSS) तेव्हा उद्भवते जेव्हा एखादा अनुप्रयोग योग्य प्रमाणीकरण किंवा एन्कोडिंगशिवाय वेब पृष्ठामध्ये अविश्वासू डेटा समाविष्ट करतो. हे आक्रमणकर्त्यांना पीडिताच्या ब्राउझरमध्ये दुर्भावनापूर्ण स्क्रिप्ट कार्यान्वित करण्यास अनुमती देते, ज्यामुळे सत्र अपहरण, अनधिकृत क्रिया आणि संवेदनशील डेटा एक्सपोजर होतो.
LiteLLM प्रॉक्सी SQL इंजेक्शन (CVE-2026-42208)
LiteLLM च्या प्रॉक्सी घटकातील एक गंभीर SQL इंजेक्शन भेद्यता (CVE-2026-42208) आक्रमणकर्त्यांना प्रमाणीकरण बायपास करण्यास किंवा API की पडताळणी प्रक्रियेचा गैरफायदा घेऊन संवेदनशील डेटाबेस माहितीमध्ये प्रवेश करण्यास अनुमती देते.
वाइब कोडिंगचे सुरक्षा धोके: ऑडिटिंग AI-व्युत्पन्न कोड
'वाइब कोडिंग'चा उदय—प्रामुख्याने जलद AI प्रॉम्प्टिंगद्वारे ॲप्लिकेशन तयार करणे—हार्डकोडेड क्रेडेन्शियल्स आणि असुरक्षित कोड पॅटर्न यांसारख्या जोखमींचा परिचय होतो. कारण AI मॉडेल असुरक्षा असलेल्या प्रशिक्षण डेटावर आधारित कोड सुचवू शकतात, त्यांचे आउटपुट अविश्वासू मानले गेले पाहिजे आणि डेटा एक्सपोजर टाळण्यासाठी स्वयंचलित स्कॅनिंग साधनांचा वापर करून ऑडिट केले पाहिजे.
JWT सुरक्षा: असुरक्षित टोकन आणि गहाळ दावा प्रमाणीकरणाचा धोका
JSON वेब टोकन (JWTs) दावे हस्तांतरित करण्यासाठी एक मानक प्रदान करतात, परंतु सुरक्षा कठोर प्रमाणीकरणावर अवलंबून असते. स्वाक्षऱ्या, कालबाह्यता वेळ किंवा अभिप्रेत प्रेक्षकांची पडताळणी करण्यात अयशस्वी झाल्यास आक्रमणकर्त्यांना प्रमाणीकरण बायपास करण्याची किंवा टोकन पुन्हा प्ले करण्याची अनुमती मिळते.
Vercel उपयोजन सुरक्षित करणे: संरक्षण आणि शीर्षलेख सर्वोत्तम पद्धती
हे संशोधन Vercel-होस्ट केलेल्या अनुप्रयोगांसाठी सुरक्षा कॉन्फिगरेशन एक्सप्लोर करते, उपयोजन संरक्षण आणि सानुकूल HTTP शीर्षलेखांवर लक्ष केंद्रित करते. हे स्पष्ट करते की ही वैशिष्ट्ये पूर्वावलोकन वातावरणाचे संरक्षण कसे करतात आणि अनधिकृत प्रवेश आणि सामान्य वेब हल्ल्यांना प्रतिबंध करण्यासाठी ब्राउझर-साइड सुरक्षा धोरणांची अंमलबजावणी कशी करतात.
LibreNMS (CVE-2024-51092) मध्ये गंभीर OS कमांड इंजेक्शन
24.9.1 पर्यंतच्या LibreNMS आवृत्त्यांमध्ये एक गंभीर OS कमांड इंजेक्शन भेद्यता (CVE-2024-51092) आहे. प्रमाणीकृत आक्रमणकर्ते यजमान प्रणालीवर अनियंत्रित आदेश कार्यान्वित करू शकतात, ज्यामुळे मॉनिटरिंग इन्फ्रास्ट्रक्चरची संपूर्ण तडजोड होऊ शकते.
LiteLLM SQL Injection in Proxy API की पडताळणी (CVE-2026-42208)
LiteLLM आवृत्त्या 1.81.16 ते 1.83.6 मध्ये प्रॉक्सी API की पडताळणी लॉजिकमध्ये एक गंभीर SQL इंजेक्शन भेद्यता आहे. हा दोष अप्रमाणित आक्रमणकर्त्यांना प्रमाणीकरण नियंत्रणे बायपास करण्यास किंवा अंतर्निहित डेटाबेसमध्ये प्रवेश करण्यास अनुमती देतो. आवृत्ती 1.83.7 मध्ये समस्येचे निराकरण केले आहे.
Firebase सुरक्षा नियम: अनधिकृत डेटा एक्सपोजर प्रतिबंधित करणे
Firebase सुरक्षा नियम हे फायरस्टोर आणि क्लाउड स्टोरेज वापरून सर्व्हरलेस ऍप्लिकेशन्ससाठी प्राथमिक संरक्षण आहेत. जेव्हा हे नियम खूप अनुज्ञेय असतात, जसे की उत्पादनामध्ये जागतिक वाचन किंवा लेखन प्रवेशास अनुमती देणे, आक्रमणकर्ते संवेदनशील डेटा चोरण्यासाठी किंवा हटवण्यासाठी हेतू असलेल्या ऍप्लिकेशन लॉजिकला बायपास करू शकतात. हे संशोधन सामान्य चुकीचे कॉन्फिगरेशन, 'चाचणी मोड' डीफॉल्टचे धोके आणि ओळख-आधारित प्रवेश नियंत्रण कसे लागू करायचे याचे अन्वेषण करते.
CSRF संरक्षण: अनधिकृत राज्य बदलांपासून बचाव
क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) वेब ऍप्लिकेशन्ससाठी एक महत्त्वपूर्ण धोका आहे. हे संशोधन Django सारखे आधुनिक फ्रेमवर्क संरक्षण कसे लागू करते आणि SameSite सारख्या ब्राउझर-स्तरीय विशेषता अनधिकृत विनंत्यांच्या विरूद्ध सखोल संरक्षण कसे प्रदान करते हे शोधते.
API सुरक्षा चेकलिस्ट: थेट जाण्यापूर्वी 12 गोष्टी तपासल्या पाहिजेत
API आधुनिक वेब ऍप्लिकेशन्सचा कणा आहेत परंतु अनेकदा पारंपारिक फ्रंटएंड्सच्या सुरक्षा कठोरतेचा अभाव असतो. हा संशोधन लेख डेटाचे उल्लंघन आणि सेवेचा गैरवापर टाळण्यासाठी APIs सुरक्षित करण्यासाठी, प्रवेश नियंत्रण, दर मर्यादा आणि क्रॉस-ओरिजिन रिसोर्स शेअरिंग (CORS) वर लक्ष केंद्रित करण्यासाठी आवश्यक चेकलिस्टची रूपरेषा देतो.
API की लीकेज: आधुनिक वेब ॲप्समधील जोखीम आणि उपाय
फ्रंटएंड कोड किंवा रेपॉजिटरी इतिहासातील हार्ड-कोडेड रहस्ये आक्रमणकर्त्यांना सेवांची तोतयागिरी करण्यास, खाजगी डेटामध्ये प्रवेश करण्यास आणि खर्च करण्यास अनुमती देतात. या लेखात गुप्त गळतीचे धोके आणि स्वच्छता आणि प्रतिबंधासाठी आवश्यक पावले समाविष्ट आहेत.
CORS चुकीचे कॉन्फिगरेशन: जास्त परवानगी देणाऱ्या धोरणांचे धोके
क्रॉस-ओरिजिन रिसोर्स शेअरिंग (CORS) ही समान-उत्पत्ति धोरण (SOP) शिथिल करण्यासाठी डिझाइन केलेली एक ब्राउझर यंत्रणा आहे. आधुनिक वेब ॲप्ससाठी आवश्यक असताना, अयोग्य अंमलबजावणी—जसे की विनंतीकर्त्याचे मूळ शीर्षलेख प्रतिध्वनी करणे किंवा 'नल' मूळ व्हाइटलिस्ट करणे — दुर्भावनापूर्ण साइट्सना खाजगी वापरकर्ता डेटा बाहेर काढण्याची परवानगी देऊ शकते.
MVP सुरक्षित करणे: AI-व्युत्पन्न SaaS ॲप्समधील डेटा लीक रोखणे
वेगाने विकसित केलेले SaaS ऍप्लिकेशन्स अनेकदा गंभीर सुरक्षा निरीक्षणांना बळी पडतात. हे संशोधन लीक झालेली रहस्ये आणि तुटलेली प्रवेश नियंत्रणे, जसे की गहाळ रो लेव्हल सिक्युरिटी (RLS), आधुनिक वेब स्टॅकमध्ये उच्च-प्रभावशील भेद्यता कशी निर्माण करतात हे शोधते.