// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
Injezzjoni SQL fil-Kontenut Ghost API (CVE-2026-26980)
Il-verżjonijiet Ghost 3.24.0 sa 6.19.0 fihom vulnerabbiltà kritika tal-injezzjoni SQL fil-Kontenut API. Dan jippermetti lil attakkanti mhux awtentikati jesegwixxu kmandi SQL arbitrarji, li potenzjalment iwasslu għal esfiltrazzjoni tad-dejta jew modifiki mhux awtorizzati.
Ir-riċerka kollha
34 articles
Eżekuzzjoni Remote Code fi SPIP permezz ta' Template Tags (CVE-2016-7998)
Il-verżjonijiet ta' SPIP 3.1.2 u preċedenti fihom vulnerabbiltà fil-kompożitur tal-mudell. L-attakkanti awtentikati jistgħu jtellgħu fajls HTML b'tags INKLUDI jew INKLUŻI maħduma biex jesegwixxu kodiċi PHP arbitrarju fuq is-server.
Żvelar ta' Informazzjoni ta' Konfigurazzjoni ta' ZoneMinder Apache (CVE-2016-10140)
Il-verżjonijiet ta' ZoneMinder 1.29 u 1.30 huma affettwati minn konfigurazzjoni ħażina ta' Apache HTTP Server miġbura. Dan id-difett jippermetti lil attakkanti remoti u mhux awtentikati jibbrawżjaw id-direttorju tal-għerq tal-web, li potenzjalment iwassal għal żvelar ta 'informazzjoni sensittiva u bypass tal-awtentikazzjoni.
Next.js Konfigurazzjoni ħażina tal-header tas-sigurtà fi next.config.js
L-applikazzjonijiet Next.js li jużaw next.config.js għall-ġestjoni tal-header huma suxxettibbli għal lakuni fis-sigurtà jekk il-mudelli tat-tqabbil tal-mogħdijiet huma impreċiżi. Din ir-riċerka tesplora kif il-konfigurazzjonijiet ħżiena ta’ wildcard u regex iwasslu għal headers ta’ sigurtà neqsin fuq rotot sensittivi u kif tibbies il-konfigurazzjoni.
Konfigurazzjoni Inadegwata tal-Intestatura tas-Sigurtà
L-applikazzjonijiet tal-web ħafna drabi jonqsu milli jimplimentaw headers ta' sigurtà essenzjali, u jħallu lill-utenti esposti għal cross-site scripting (XSS), clickjacking, u injezzjoni tad-dejta. Billi jsegwu linji gwida stabbiliti dwar is-sigurtà tal-web u jużaw għodod ta' verifika bħall-Osservatorju MDN, l-iżviluppaturi jistgħu jwebbsu b'mod sinifikanti l-applikazzjonijiet tagħhom kontra attakki komuni bbażati fuq browser.
Il-mitigazzjoni ta' OWASP L-aqwa 10 Riskji fl-Iżvilupp Rapidu tal-Web
Hackers Indie u timijiet żgħar ħafna drabi jiffaċċjaw sfidi ta’ sigurtà uniċi meta jbaħħru malajr, speċjalment b’kodiċi ġġenerat minn AI. Din ir-riċerka tenfasizza riskji rikorrenti mill-kategoriji CWE Top 25 u OWASP, inkluż kontroll tal-aċċess miksur u konfigurazzjonijiet mhux sikuri, li jipprovdu pedament għal kontrolli tas-sigurtà awtomatizzati.
Konfigurazzjonijiet ta' Header HTTP mhux sikuri f'applikazzjonijiet Ġenerati minn AI
L-applikazzjonijiet iġġenerati mill-assistenti AI spiss ma jkollhomx headers ta' sigurtà HTTP essenzjali, u jonqsu milli jilħqu standards ta' sigurtà moderni. Din l-ommissjoni tħalli l-applikazzjonijiet tal-web vulnerabbli għal attakki komuni min-naħa tal-klijent. Billi jutilizzaw punti ta' referenza bħall-Osservatorju HTTP Mozilla, l-iżviluppaturi jistgħu jidentifikaw protezzjonijiet neqsin bħal CSP u HSTS biex itejbu l-qagħda tas-sigurtà tal-applikazzjoni tagħhom.
L-iskoperta u l-Prevenzjoni ta' Vulnerabbiltajiet ta' Cross-Site Scripting (XSS)
Cross-Site Scripting (XSS) iseħħ meta applikazzjoni tinkludi data mhux affidabbli f'paġna web mingħajr validazzjoni jew kodifikazzjoni xierqa. Dan jippermetti lill-attakkanti jesegwixxu skripts malizzjużi fil-browser tal-vittma, li jwassal għal ħtif ta' sessjoni, azzjonijiet mhux awtorizzati, u espożizzjoni ta' dejta sensittiva.
LiteLLM Proxy SQL Injection (CVE-2026-42208)
Vulnerabilità kritika ta' injezzjoni SQL (CVE-2026-42208) fil-komponent proxy ta' LiteLLM tippermetti lill-attakkanti jevitaw l-awtentikazzjoni jew jaċċessaw informazzjoni sensittiva tad-database billi jisfruttaw il-proċess ta' verifika taċ-ċavetta API.
Riskji tas-Sigurtà tal-Kodifikazzjoni Vibe: Awditjar tal-Kodiċi Ġenerat minn AI
Iż-żieda ta ''vibe coding'—bini ta' applikazzjonijiet primarjament permezz ta' prompting rapidu ta' AI—tintroduċi riskji bħal kredenzjali kkodifikati iebes u mudelli ta' kodiċi mhux sikuri. Minħabba li l-mudelli AI jistgħu jissuġġerixxu kodiċi bbażat fuq data ta 'taħriġ li jkun fiha vulnerabbiltajiet, l-output tagħhom għandu jiġi ttrattat bħala mhux fdat u vverifikat bl-użu ta' għodod ta 'skanjar awtomatizzati biex jipprevjenu l-espożizzjoni tad-data.
JWT Sigurtà: Riskji ta' Tokens Mhux Sikurjati u Validazzjoni ta' Talba Neqsin
JSON Web Tokens (JWTs) jipprovdu standard għat-trasferiment tal-pretensjonijiet, iżda s-sigurtà tiddependi fuq validazzjoni rigoruża. Nuqqas li jivverifikaw firem, ħinijiet ta' skadenza, jew udjenzi maħsuba jippermetti lill-attakkanti jevitaw l-awtentikazzjoni jew it-tokens mill-ġdid.
L-iżgurar ta' Vercel Skjeramenti: Protezzjoni u l-Aħjar Prattiki tal-Header
Din ir-riċerka tesplora l-konfigurazzjonijiet tas-sigurtà għal applikazzjonijiet ospitati minn Vercel, li tiffoka fuq il-Protezzjoni tal-Iskjerament u l-intestaturi HTTP personalizzati. Jispjega kif dawn il-karatteristiċi jipproteġu ambjenti ta’ preview u jinfurzaw politiki ta’ sigurtà fuq in-naħa tal-brawżer biex jipprevjenu aċċess mhux awtorizzat u attakki komuni tal-web.
Injezzjoni Kritika tal-Kmand tal-OS f'LibreNMS (CVE-2024-51092)
Verżjonijiet LibreNMS sa 24.9.1 fihom vulnerabbiltà kritika tal-injezzjoni tal-kmand tal-OS (CVE-2024-51092). L-attakkanti awtentikati jistgħu jesegwixxu kmandi arbitrarji fuq is-sistema ospitanti, li potenzjalment iwasslu għal kompromess totali tal-infrastruttura tal-monitoraġġ.
Injezzjoni SQL LiteLLM fil-Verifika taċ-Ċavetta Proxy API (CVE-2026-42208)
Il-verżjonijiet tal-LiteLLM 1.81.16 sa 1.83.6 fihom vulnerabbiltà kritika tal-injezzjoni SQL fil-loġika tal-verifika taċ-ċavetta Proxy API. Dan id-difett jippermetti lil attakkanti mhux awtentikati li jevitaw il-kontrolli tal-awtentikazzjoni jew jaċċessaw id-database sottostanti. Il-kwistjoni hija solvuta fil-verżjoni 1.83.7.
Firebase Regoli ta' Sigurtà: Prevenzjoni ta' Esponiment Mhux Awtorizzat tad-Data
Firebase Ir-Regoli tas-Sigurtà huma d-difiża primarja għal applikazzjonijiet mingħajr server li jużaw Firestore u Cloud Storage. Meta dawn ir-regoli jkunu wisq permissivi, bħal li jippermettu aċċess globali għall-qari jew għall-kitba fil-produzzjoni, l-attakkanti jistgħu jevitaw il-loġika tal-applikazzjoni maħsuba biex jisirqu jew iħassru data sensittiva. Din ir-riċerka tesplora konfigurazzjonijiet ħżiena komuni, ir-riskji ta' defaults tal-'modalità tat-test', u kif timplimenta kontroll tal-aċċess ibbażat fuq l-identità.
Protezzjoni CSRF: Tiddefendi Kontra Tibdil Statali Mhux Awtorizzat
Cross-Site Request Forgery (CSRF) jibqa' theddida sinifikanti għall-applikazzjonijiet tal-web. Din ir-riċerka tesplora kif oqfsa moderni bħal Django jimplimentaw protezzjoni u kif attributi fil-livell tal-browser bħal SameSite jipprovdu difiża fil-fond kontra talbiet mhux awtorizzati.
API Lista ta' Kontroll tas-Sigurtà: 12-il Affarijiet li Għandhom Iċċekkjaw Qabel Ma Jgħixu
L-APIs huma s-sinsla tal-applikazzjonijiet tal-web moderni iżda ħafna drabi ma jkollhomx ir-rigorożità tas-sigurtà tal-frontends tradizzjonali. Dan l-artikolu ta 'riċerka jiddeskrivi lista ta' kontroll essenzjali biex jiġu żgurati l-APIs, li jiffoka fuq il-kontroll tal-aċċess, il-limitazzjoni tar-rata, u l-qsim tar-riżorsi bejn l-oriġini (CORS) biex jipprevjeni ksur tad-dejta u abbuż tas-servizz.
API Tnixxija Ewlenija: Riskji u Rimedju f'Apps tal-Web Moderni
Sigrieti kodifikati b'mod iebes fil-kodiċi tal-frontend jew fl-istorja tar-repożitorju jippermettu lill-attakkanti jippersonaw is-servizzi, jaċċessaw dejta privata, u jġarrbu spejjeż. Dan l-artikolu jkopri r-riskji ta 'tnixxija sigrieta u l-passi meħtieġa għat-tindif u l-prevenzjoni.
CORS Konfigurazzjoni ħażina: Riskji ta' Politiki Permissivi Iżżejjed
Il-Qsim tar-Riżorsi bejn l-Oriġini (CORS) huwa mekkaniżmu tal-browser iddisinjat biex jirrilassa l-Politika tal-Istess Oriġini (SOP). Filwaqt li hija meħtieġa għall-apps tal-web moderni, implimentazzjoni mhux xierqa—bħal eku tal-header Oriġini ta' min jagħmel it-talba jew whitelisting tal-oriġini 'null'—tista' tippermetti lis-siti malizzjużi jesfiltraw id-dejta tal-utent privat.
L-iżgurar tal-MVP: Prevenzjoni ta' Tnixxijiet tad-Data f'Apps SaaS Ġenerati minn AI
Applikazzjonijiet SaaS żviluppati malajr ħafna drabi jbatu minn sorveljanza kritika tas-sigurtà. Din ir-riċerka tesplora kif sigrieti leaked u kontrolli ta 'aċċess miksur, bħas-Sigurtà fil-Livell tar-Ringiela nieqsa (RLS), joħolqu vulnerabbiltajiet ta' impatt għoli f'munzelli tal-web moderni.