// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
भूत सामग्रीमा SQL इंजेक्शन API (CVE-2026-26980)
Ghost संस्करणहरू 3.24.0 देखि 6.19.0 सम्ममा सामग्री API मा एक महत्वपूर्ण SQL इंजेक्शन जोखिम समावेश छ। यसले अप्रमाणित आक्रमणकारीहरूलाई स्वेच्छाचारी SQL आदेशहरू कार्यान्वयन गर्न अनुमति दिन्छ, सम्भावित रूपमा डेटा निष्कासन वा अनधिकृत परिमार्जनहरू निम्त्याउँछ।
सबै research
34 articles
टेम्प्लेट ट्यागहरू (CVE-2016-7998) मार्फत SPIP मा रिमोट कोड कार्यान्वयन
SPIP संस्करण 3.1.2 र अघिल्लो टेम्प्लेट कम्पोजरमा कमजोरी समावेश गर्दछ। प्रमाणिकरण गरिएका आक्रमणकारीहरूले सर्भरमा स्वेच्छाचारी PHP कोड कार्यान्वयन गर्न शिल्प गरिएको समावेश वा समावेश ट्यागहरूसँग HTML फाइलहरू अपलोड गर्न सक्छन्।
ZoneMinder Apache कन्फिगरेसन जानकारी खुलासा (CVE-2016-10140)
ZoneMinder संस्करणहरू 1.29 र 1.30 बन्डल गरिएको Apache HTTP सर्भर गलत कन्फिगरेसनबाट प्रभावित छन्। यो त्रुटिले टाढाको, अप्रमाणित आक्रमणकारीहरूलाई वेब रूट डाइरेक्टरी ब्राउज गर्न अनुमति दिन्छ, सम्भावित रूपमा संवेदनशील जानकारी प्रकटीकरण र प्रमाणीकरण बाइपासमा नेतृत्व गर्दछ।
Next.js सुरक्षा हेडर next.config.js मा गलत कन्फिगरेसन
Next.js एप्लिकेसनहरू हेडर व्यवस्थापनको लागि next.config.js प्रयोग गरेर यदि पथ-मिल्ने ढाँचाहरू अशुद्ध छन् भने सुरक्षा ग्यापहरूको लागि संवेदनशील हुन्छन्। यो अनुसन्धानले कसरी वाइल्डकार्ड र रेगेक्सको गलत कन्फिगरेसनले संवेदनशील मार्गहरूमा सुरक्षा हेडरहरू हराइरहेको हुन्छ र कसरी कन्फिगरेसनलाई कडा बनाउँछ भनेर अन्वेषण गर्छ।
अपर्याप्त सुरक्षा हेडर कन्फिगरेसन
वेब एप्लिकेसनहरू प्रायः आवश्यक सुरक्षा हेडरहरू लागू गर्न असफल हुन्छन्, प्रयोगकर्ताहरूलाई क्रस-साइट स्क्रिप्टिङ (XSS), क्लिकज्याकिंग, र डेटा इन्जेक्सनमा पर्दा। स्थापित वेब सुरक्षा दिशानिर्देशहरू पछ्याएर र MDN अब्जर्भेटरी जस्ता अडिटिङ उपकरणहरू प्रयोग गरेर, विकासकर्ताहरूले सामान्य ब्राउजर-आधारित आक्रमणहरू विरुद्ध आफ्ना अनुप्रयोगहरूलाई महत्त्वपूर्ण रूपमा कडा बनाउन सक्छन्।
द्रुत वेब विकासमा OWASP शीर्ष 10 जोखिमहरू कम गर्दै
Indie hackers and small teams often face unique security challenges when shipping fast, especially with AI-generated code. यस अनुसन्धानले CWE Top 25 र OWASP कोटिहरूबाट पुनरावर्ती जोखिमहरू हाइलाइट गर्दछ, टुटेको पहुँच नियन्त्रण र असुरक्षित कन्फिगरेसनहरू सहित, स्वचालित सुरक्षा जाँचहरूको लागि आधार प्रदान गर्दछ।
AI-उत्पन्न अनुप्रयोगहरूमा असुरक्षित HTTP हेडर कन्फिगरेसनहरू
AI सहायकहरू द्वारा उत्पन्न गरिएका अनुप्रयोगहरूमा प्रायः आवश्यक HTTP सुरक्षा हेडरहरूको अभाव हुन्छ, आधुनिक सुरक्षा मापदण्डहरू पूरा गर्न असफल। यो बहिष्कारले वेब अनुप्रयोगहरूलाई सामान्य क्लाइन्ट-साइड आक्रमणहरूको लागि कमजोर बनाउँछ। Mozilla HTTP वेधशाला जस्ता बेन्चमार्कहरू प्रयोग गरेर, विकासकर्ताहरूले आफ्नो अनुप्रयोगको सुरक्षा स्थिति सुधार गर्न CSP र HSTS जस्ता छुटेका सुरक्षाहरू पहिचान गर्न सक्छन्।
क्रस-साइट स्क्रिप्टिङ (XSS) कमजोरीहरू पत्ता लगाउने र रोकथाम गर्ने
क्रस-साइट स्क्रिप्टिङ (XSS) तब हुन्छ जब एप्लिकेसनले वेब पृष्ठमा उचित प्रमाणीकरण वा एन्कोडिङ बिना अविश्वसनीय डेटा समावेश गर्दछ। This allows attackers to execute malicious scripts in the victim's browser, leading to session hijacking, unauthorized actions, and sensitive data exposure.
LiteLLM प्रोक्सी SQL इंजेक्शन (CVE-2026-42208)
A critical SQL injection vulnerability (CVE-2026-42208) in LiteLLM's proxy component allows attackers to bypass authentication or access sensitive database information by exploiting the API key verification process.
Vibe कोडिङको सुरक्षा जोखिम: AI-उत्पन्न कोड अडिट गर्दै
'वाइब कोडिङ' को उदय - मुख्य रूपमा द्रुत AI प्रम्प्टिङ मार्फत अनुप्रयोगहरू निर्माण गर्ने - हार्डकोड गरिएको प्रमाणहरू र असुरक्षित कोड ढाँचाहरू जस्ता जोखिमहरू परिचय गराउँछ। AI मोडेलहरूले कमजोरीहरू समावेश गर्ने प्रशिक्षण डेटामा आधारित कोड सुझाव दिन सक्ने हुनाले, तिनीहरूको आउटपुटलाई अविश्वसनीय रूपमा व्यवहार गरिनुपर्छ र डेटा एक्सपोजर रोक्नको लागि स्वचालित स्क्यानिङ उपकरणहरू प्रयोग गरेर लेखा परीक्षण गर्नुपर्छ।
JWT सुरक्षा: असुरक्षित टोकन र छुटेको दाबी प्रमाणीकरणको जोखिम
JSON वेब टोकन (JWTs) ले दावीहरू स्थानान्तरण गर्नको लागि एक मानक प्रदान गर्दछ, तर सुरक्षा कठोर प्रमाणीकरणमा निर्भर गर्दछ। हस्ताक्षर, म्याद सकिने समय, वा अभिप्रेत दर्शकहरू प्रमाणीकरण गर्न असफल हुँदा आक्रमणकारीहरूलाई प्रमाणीकरण वा टोकनहरू पुन: प्ले गर्न अनुमति दिन्छ।
Vercel डिप्लोयमेन्टहरू सुरक्षित गर्दै: सुरक्षा र हेडर उत्तम अभ्यासहरू
यस अनुसन्धानले Vercel-होस्ट गरिएका अनुप्रयोगहरूको लागि सुरक्षा कन्फिगरेसनहरू अन्वेषण गर्दछ, डिप्लोयमेन्ट सुरक्षा र अनुकूलन HTTP हेडरहरूमा केन्द्रित। यसले वर्णन गर्दछ कि यी सुविधाहरूले कसरी पूर्वावलोकन वातावरणहरू सुरक्षित गर्दछ र अनाधिकृत पहुँच र सामान्य वेब आक्रमणहरू रोक्न ब्राउजर-साइड सुरक्षा नीतिहरू लागू गर्दछ।
LibreNMS (CVE-2024-51092) मा क्रिटिकल OS आदेश इंजेक्शन
24.9.1 सम्मको LibreNMS संस्करणहरूमा एक महत्वपूर्ण OS कमाण्ड इंजेक्शन जोखिम (CVE-2024-51092) समावेश छ। प्रमाणीकृत आक्रमणकारीहरूले होस्ट प्रणालीमा स्वेच्छाचारी आदेशहरू कार्यान्वयन गर्न सक्छन्, सम्भावित रूपमा अनुगमन पूर्वाधारको पूर्ण सम्झौताको लागि नेतृत्व।
प्रोक्सी API कुञ्जी प्रमाणीकरणमा LiteLLM SQL इंजेक्शन (CVE-2026-42208)
LiteLLM संस्करणहरू 1.81.16 देखि 1.83.6 मा Proxy API कुञ्जी प्रमाणीकरण तर्कमा एक महत्वपूर्ण SQL इंजेक्शन जोखिम समावेश छ। यो त्रुटिले अप्रमाणित आक्रमणकारीहरूलाई प्रमाणीकरण नियन्त्रणहरू बाइपास गर्न वा अन्तर्निहित डाटाबेस पहुँच गर्न अनुमति दिन्छ। समस्या संस्करण 1.83.7 मा समाधान गरिएको छ।
Firebase सुरक्षा नियमहरू: अनधिकृत डाटा एक्सपोजर रोक्न
Firebase सुरक्षा नियमहरू फायरस्टोर र क्लाउड भण्डारण प्रयोग गरेर सर्भररहित अनुप्रयोगहरूको लागि प्राथमिक सुरक्षा हुन्। जब यी नियमहरू धेरै अनुमोदक हुन्छन्, जस्तै उत्पादनमा विश्वव्यापी पढ्न वा लेख्ने पहुँचलाई अनुमति दिने, आक्रमणकारीहरूले संवेदनशील डेटा चोर्न वा मेटाउनको लागि इच्छित अनुप्रयोग तर्कलाई बाइपास गर्न सक्छन्। यस अनुसन्धानले सामान्य गलत कन्फिगरेसनहरू, 'परीक्षण मोड' पूर्वनिर्धारितहरूको जोखिमहरू, र पहिचान-आधारित पहुँच नियन्त्रण कसरी लागू गर्ने भनेर अन्वेषण गर्दछ।
CSRF संरक्षण: अनाधिकृत राज्य परिवर्तनहरू विरुद्धको रक्षा
क्रस-साइट अनुरोध जालसाजी (CSRF) वेब अनुप्रयोगहरूको लागि महत्त्वपूर्ण खतरा बनेको छ। यो अनुसन्धानले Django जस्ता आधुनिक ढाँचाहरूले कसरी सुरक्षा लागू गर्छ र कसरी SameSite जस्ता ब्राउजर-स्तर विशेषताहरूले अनधिकृत अनुरोधहरू विरुद्ध सुरक्षा-इन-गहिराइ प्रदान गर्दछ भनेर अन्वेषण गर्दछ।
API सुरक्षा चेकलिस्ट: लाइभ हुनु अघि जाँच गर्नका लागि १२ चीजहरू
API हरू आधुनिक वेब अनुप्रयोगहरूको मेरुदण्ड हुन् तर प्रायः परम्परागत फ्रन्टएन्डहरूको सुरक्षा कठोरताको अभाव हुन्छ। यस अनुसन्धान लेखले डाटा उल्लंघन र सेवाको दुरुपयोग रोक्नको लागि पहुँच नियन्त्रण, दर सीमित गर्ने, र क्रस-ओरिजिन रिसोर्स सेयरिङ (CORS) मा फोकस गर्दै API हरू सुरक्षित गर्नको लागि आवश्यक चेकलिस्टको रूपरेखा दिन्छ।
API कुञ्जी चुहावट: आधुनिक वेब एपहरूमा जोखिम र उपचार
फ्रन्टएन्ड कोड वा रिपोजिटरी इतिहासमा हार्ड-कोड गरिएको गोप्यहरूले आक्रमणकारीहरूलाई सेवाहरू प्रतिरूपण गर्न, निजी डेटा पहुँच गर्न, र लागतहरू खर्च गर्न अनुमति दिन्छ। यस लेखले गोप्य चुहावटको जोखिम र सफाई र रोकथामका लागि आवश्यक कदमहरू समावेश गर्दछ।
CORS गलत कन्फिगरेसन: अत्यधिक अनुमति दिने नीतिहरूको जोखिम
क्रस-ओरिजिन रिसोर्स सेयरिङ (CORS) समान-उत्पत्ति नीति (SOP) लाई आराम गर्न डिजाइन गरिएको ब्राउजर संयन्त्र हो। आधुनिक वेब एपहरूको लागि आवश्यक हुँदा, अनुचित कार्यान्वयन-जस्तै अनुरोधकर्ताको उत्पत्ति हेडर प्रतिध्वनित गर्ने वा 'नल' उत्पत्तिलाई ह्वाइटलिस्ट गर्ने—दुर्भावनापूर्ण साइटहरूलाई निजी प्रयोगकर्ता डेटा बाहिर निकाल्न अनुमति दिन सक्छ।
MVP सुरक्षित गर्दै: AI-उत्पन्न SaaS एपहरूमा डाटा चुहावट रोक्न
द्रुत रूपमा विकसित SaaS अनुप्रयोगहरू अक्सर महत्वपूर्ण सुरक्षा निरीक्षणबाट ग्रस्त हुन्छन्। यस अनुसन्धानले कसरी चुहावट भएका गोप्य र टुटेको पहुँच नियन्त्रणहरू, जस्तै हराएको रो लेभल सेक्युरिटी (RLS) ले आधुनिक वेब स्ट्याकहरूमा उच्च-प्रभाव जोखिमहरू सिर्जना गर्छ भनेर अन्वेषण गर्दछ।