// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
ایس کیو ایل انجیکشن په غوسټ مینځپانګه API (CVE-2026-26980)
د غوسټ نسخې 3.24.0 څخه تر 6.19.0 پورې د API منځپانګې کې د SQL انجیکشن مهم زیان منونکي لري. دا غیر مستند برید کونکو ته اجازه ورکوي چې په خپل سري SQL کمانډونه اجرا کړي، په بالقوه توګه د ډیټا افشا کولو یا غیر مجاز بدلونونو لامل کیږي.
ټول research
34 articles
په SPIP کې د ریموټ کوډ اجرا کول د ټیمپلیټ ټاګونو له لارې (CVE-2016-7998)
د SPIP نسخې 3.1.2 او پخوانۍ د ټیمپلیټ کمپوزر کې زیان منونکي لري. مستند شوي برید کونکي کولی شي په سرور کې د خپل سري PHP کوډ اجرا کولو لپاره د جوړ شوي شامل یا شاملولو ټاګونو سره HTML فایلونه اپلوډ کړي.
د زون مینډر اپاچی ترتیب کولو معلوماتو افشا کول (CVE-2016-10140)
د زون مینډر نسخې 1.29 او 1.30 د بنډل شوي اپاچي HTTP سرور غلط ترتیب لخوا اغیزمن شوي. دا نیمګړتیا لیرې، غیر مستند شوي برید کونکي ته اجازه ورکوي چې د ویب روټ ډایرکټر براوز کړي، په بالقوه توګه د حساس معلوماتو افشا کولو او تصدیق کولو بای پاس لامل کیږي.
Next.js امنیت سرلیک په next.config.js کې غلط ترتیب
Next.js غوښتنلیکونه چې د سرلیک مدیریت لپاره next.config.js کاروي د امنیت تشو ته حساس دي که د لارې سره سمون لرونکي نمونې ناسمې وي. دا څیړنه په ګوته کوي چې څنګه د وائلډ کارډ او ریجیکس غلط تشکیلات په حساسو لارو کې د امنیتي سرلیکونو ورکیدو لامل کیږي او څنګه تنظیمات سخت کړي.
د امنیت سرلیک ناکافي ترتیب
ویب غوښتنلیکونه ډیری وختونه د اړین امنیتي سرلیکونو پلي کولو کې پاتې راځي، کاروونکي د کراس سایټ سکریپټینګ (XSS)، کلیک جیک کولو، او ډیټا انجیکشن سره مخ کیږي. د تاسیس شوي ویب امنیت لارښودونو په تعقیب او د MDN څارونکي په څیر د پلټنې وسیلو کارولو سره ، پراختیا کونکي کولی شي د عام براوزر میشته بریدونو پروړاندې خپل غوښتنلیکونه د پام وړ سخت کړي.
د چټک ویب پراختیا کې د OWASP د 10 غوره خطرونو کمول
انډي هیکران او کوچني ټیمونه اکثرا د ځانګړي امنیتي ننګونو سره مخ کیږي کله چې ګړندي لیږد کوي ، په ځانګړي توګه د AI تولید شوي کوډ سره. دا څیړنه د CWE Top 25 او OWASP کټګوریو څخه تکراري خطرونه په ګوته کوي، په شمول د مات شوي لاسرسي کنټرول او ناامنه ترتیبونه، د اتوماتیک امنیتي چکونو لپاره بنسټ چمتو کوي.
په AI - تولید شوي غوښتنلیکونو کې ناامنه HTTP سرلیک تشکیلات
د AI معاونینو لخوا رامینځته شوي غوښتنلیکونه په مکرر ډول د HTTP امنیت سرلیکونه نلري ، د عصري امنیت معیارونو پوره کولو کې پاتې راغلي. دا نیمګړتیا ویب غوښتنلیکونه پریږدي چې د عام پیرودونکي اړخ بریدونو ته زیان منونکي وي. د موزیلا HTTP څارونکي په څیر د معیارونو په کارولو سره، پراختیا کونکي کولی شي ورک شوي محافظتونه لکه CSP او HSTS د دوی د غوښتنلیک امنیت حالت ښه کړي.
د کراس سایټ سکریپټینګ کشف او مخنیوی (XSS) زیانمننې
د کراس سایټ سکریپټینګ (XSS) هغه وخت رامینځته کیږي کله چې یو غوښتنلیک په ویب پا pageه کې بې اعتباره ډیټا شاملوي پرته له دې چې مناسب تایید یا کوډ کولو څخه. دا برید کونکو ته اجازه ورکوي چې د قرباني په براوزر کې ناوړه سکریپټونه اجرا کړي، چې د سیشن هیجیک کولو، غیر مجاز عملونو، او حساس معلوماتو افشا کیدو لامل کیږي.
LiteLLM پراکسي SQL انجکشن (CVE-2026-42208)
د LiteLLM په پراکسي برخې کې د SQL انجیکشن یو مهم زیان منونکی (CVE-2026-42208) برید کونکو ته اجازه ورکوي چې د API کلیدي تایید پروسې څخه په ګټه اخیستنې سره د تصدیق مخه ونیسي یا حساس ډیټابیس معلوماتو ته لاسرسی ومومي.
د ویب کوډ کولو امنیت خطرونه: د AI تولید شوي کوډ پلټنه
د 'ویب کوډینګ' زیاتوالی - په ابتدايي توګه د ګړندي AI پرامپټینګ له لارې د غوښتنلیکونو رامینځته کول - خطرونه معرفي کوي لکه د هارډ کوډ شوي اسناد او ناامنه کوډ نمونې. ځکه چې د AI ماډلونه ممکن د روزنې ډیټا پراساس کوډ وړاندیز وکړي چې زیان منونکي لري، د دوی محصول باید د اعتبار وړ ونه ګڼل شي او د اتوماتیک سکین کولو وسیلو په کارولو سره تفتیش شي ترڅو د ډیټا افشا کیدو مخه ونیسي.
JWT امنیت: د غیر خوندي توکیو خطرونه او د ادعا تایید ورکونه
د JSON ویب ټوکن (JWTs) د ادعاګانو لیږدولو لپاره معیار چمتو کوي، مګر امنیت په سخت اعتبار تکیه کوي. د لاسلیکونو، د پای ته رسیدو وختونو، یا ټاکل شوي لیدونکو تایید کولو کې پاتې راتلل برید کونکو ته اجازه ورکوي چې د تصدیق مخه ونیسي یا ټوکن بیا پلی کړي.
د Vercel ګمارنې خوندي کول: محافظت او سرلیک غوره کړنې
دا څیړنه د Vercel کوربه شوي غوښتنلیکونو لپاره امنیتي تشکیلات لټوي، د ځای پرځای کولو محافظت او دودیز HTTP سرلیکونو تمرکز کوي. دا تشریح کوي چې دا ځانګړتیاوې څنګه د مخکتنې چاپیریال ساتي او د براوزر اړخ امنیتي پالیسۍ پلي کوي ترڅو د غیر مجاز لاسرسي او عام ویب بریدونو مخه ونیسي.
په LibreNMS (CVE-2024-51092) کې د مهم OS کمانډ انجیکشن
د LibreNMS نسخې تر 24.9.1 پورې د OS کمانډ انجیکشن حساسیت (CVE-2024-51092) لري. مستند شوي برید کونکي کولی شي په کوربه سیسټم کې خپل سري حکمونه اجرا کړي، په بالقوه توګه د څارنې زیربنا بشپړ جوړجاړی لامل کیږي.
LiteLLM SQL انجیکشن په پراکسي API کلیدي تایید (CVE-2026-42208)
د LiteLLM نسخې 1.81.16 څخه تر 1.83.6 پورې د پراکسي API کلیدي تایید منطق کې د SQL انجیکشن مهم زیان منونکي لري. دا نیمګړتیا غیر مستند برید کونکو ته اجازه ورکوي چې د تصدیق کنټرولونو څخه تیر شي یا لاندې ډیټابیس ته لاسرسی ومومي. مسله په 1.83.7 نسخه کې حل شوې.
Firebase امنیتي قواعد: د غیر مجاز ډیټا افشا کیدو مخه نیسي
د Firebase امنیت مقررات د فایرسټور او کلاوډ ذخیره په کارولو سره د سرور پرته غوښتنلیکونو لپاره لومړني دفاع دي. کله چې دا مقررات خورا جواز لرونکي وي، لکه په تولید کې د نړیوال لوستلو یا لیکلو لاسرسي ته اجازه ورکول، برید کونکي کولی شي د حساس معلوماتو غلا یا حذف کولو لپاره د غوښتنلیک منطق تعقیب کړي. دا څیړنه عام غلط تشکیلات لټوي، د 'ټیسټ حالت' ډیفالټ خطرونه، او د پیژندنې پر بنسټ د لاسرسي کنټرول پلي کولو څرنګوالی.
د CSRF ساتنه: د غیر مجاز دولت بدلونونو په وړاندې دفاع
د کراس سایټ غوښتنه جعل (CSRF) د ویب غوښتنلیکونو لپاره یو مهم ګواښ دی. دا څیړنه په ګوته کوي چې څنګه د جینګو په څیر عصري چوکاټونه محافظت پلي کوي او څنګه د براوزر کچې ځانګړتیاوې لکه SameSite د غیر مجاز غوښتنو پروړاندې دفاع ژوره چمتو کوي.
API امنیتي چک لیست: 12 شیان چې د ژوند کولو دمخه یې وګورئ
APIs د عصري ویب غوښتنلیکونو ریښې دي مګر ډیری وختونه د دودیز مخکینۍ برخې امنیت سختۍ نلري. دا څیړنیزه مقاله د APIs خوندي کولو لپاره یو لازمي چیک لیست په ګوته کوي ، د لاسرسي کنټرول باندې تمرکز کوي ، د نرخ محدودیت ، او د کراس اصلي سرچینې شریکول (CORS) ترڅو د معلوماتو سرغړونو او خدماتو ناوړه ګټه اخیستنې مخه ونیسي.
API کلیدي لیک: په عصري ویب ایپسونو کې خطرونه او درملنه
د فرنټ اینډ کوډ یا ذخیره کولو تاریخ کې سخت کوډ شوي رازونه برید کونکو ته اجازه ورکوي چې خدمات تقلید کړي ، شخصي معلوماتو ته لاسرسی ومومي او لګښتونه وکړي. دا مقاله د پټ لیک خطرونه او د پاکولو او مخنیوي لپاره اړین ګامونه پوښي.
CORS غلط ترتیب: د ډیر اجازې پالیسي خطرونه
د کراس اوریجن سرچینې شریکول (CORS) د براوزر میکانیزم دی چې د ورته اصلي پالیسۍ (SOP) آرامولو لپاره ډیزاین شوی. پداسې حال کې چې د عصري ویب ایپسونو لپاره اړین دي، ناسم پلي کول — لکه د غوښتونکي د اصلي سرلیک غږول یا د 'نول' اصل سپین لیست کول — کولی شي ناوړه سایټونو ته اجازه ورکړي چې د شخصي کاروونکو ډیټا افشا کړي.
د MVP خوندي کول: په AI - تولید شوي SaaS ایپسونو کې د ډیټا لیک مخه نیول
په چټکۍ سره د SaaS غوښتنلیکونه ډیری وختونه د جدي امنیتي نظارت سره مخ کیږي. دا څیړنه په ګوته کوي چې څنګه افشا شوي رازونه او مات شوي لاسرسي کنټرولونه لکه د قطار کچې امنیت (RLS) ورک شوي، په عصري ویب سټیکونو کې د لوړ اغیزو زیانونه رامینځته کوي.