// holofote de vulnerabilidades
Cada check que o FixVibe roda,
explicado.
164+ classes de vulnerabilidades que vêm com o FixVibe. Cada item roda até 35 sub-checks por scan e detalha como o bug funciona, o que um atacante ganha com isso, como testamos e o que é preciso para se defender.
01 / 07
HTTP & superfície
Atributos de cookie de sessão
HttpOnly, Secure, SameSite — três flags que transformam um cookie de sessão em algo difícil de roubar.
Ler o holofote →
Cabeçalhos de segurança HTTP
Cabeçalhos são defesa de graça — a maioria das apps ainda sobe sem eles.
Ler o holofote →
Configuração TLS
Cipher suites antigas mais HSTS ausente equivalem a um Wi-Fi hostil de distância do sequestro de sessão.
Ler o holofote →
Vercel Deployment Protection
Generated deployment URLs should not become public staging doors.
Ler o holofote →
02 / 07
Segredos
Padrões de segredos hard-coded
Chaves Stripe, credenciais AWS, tokens OpenAI — pattern matching pega os erros fáceis.
Ler o holofote →
Segredos em bundles JavaScript
Se foi enviado no seu bundle do cliente, não é segredo — é publicação.
Ler o holofote →
Integridade JWT (confusão de alg, segredos fracos)
Se seu verificador de JWT confia no header do próprio token, ele acreditará no que o atacante digitar.
Ler o holofote →
Tokens em armazenamento do navegador
localStorage é legível por JavaScript. Tokens de auth guardados ali são roubáveis por XSS por design.
Ler o holofote →
Source maps expostos
Se seus arquivos .map estão públicos, o atacante está lendo seu TypeScript.
Ler o holofote →
Vazamento de informação em JavaScript
Hosts internos, banners de versão, comentários TODO — pequenos vazamentos somam um mapa do seu stack.
Ler o holofote →
03 / 07
Backend-as-a-Service
Regras de segurança do Firebase
`allow read, write: if true` agora mesmo é o banco de produção de alguém.
Ler o holofote →
Row-Level Security do Supabase
Sem RLS em cada tabela pública, sua chave anon é uma licença para ler qualquer coisa.
Ler o holofote →
Configuração de Clerk e Auth0
Provedores de identidade vazam mais do que deveriam quando os defaults não são apertados.
Ler o holofote →
Supabase Storage and API Posture
Public buckets and anon-listable objects are where BaaS data leaks start.
Ler o holofote →
04 / 07
DNS
Netmaker DNS Key Authorization Bypass
A VPN control-plane DNS API should not trust a legacy default key.
Ler o holofote →
Tomada de subdomínio
Um CNAME apontando para um recurso de cloud não reivindicado é um convite pra hospedar phishing no seu domínio.
Ler o holofote →
SPF / DKIM / DMARC
Sem esses três registros, qualquer um pode enviar e-mail se passando por você.
Ler o holofote →
05 / 07
Descoberta
Arcserve UDP Heap Overflow Advisory
Backup management consoles should not expose affected UDP versions.
Ler o holofote →
Schneider Modicon M221 Firmware Advisory
PLC firmware evidence should drive patch and segmentation review, not reboot or authentication replay tests.
Ler o holofote →
Cruzamento com CVE
Versão detectada + base pública de CVE = uma lista de ataques já documentados.
Ler o holofote →
Endpoints de debug e admin
/debug, /admin, /server-status — caminhos que nunca deveriam ser alcançáveis pela internet.
Ler o holofote →
Arquivos e diretórios de backup expostos
.env, .git, .DS_Store, backup.sql — arquivos que nunca deveriam ser públicos, são por acidente.
Ler o holofote →
Rockwell MicroLogix 1100 DoS Advisory
An exposed PLC fingerprint is an operations risk, not something to crash-test.
Ler o holofote →
SPIP Template RCE Version Exposure
Public SPIP version banners can reveal an RCE-class patch gap.
Ler o holofote →
Checking Apache ActiveMQ Artemis for CVE-2023-50780
Checking Apache ActiveMQ Artemis for CVE-2023-50780
Ler o holofote →
Checking Apache Airflow for CVE-2024-45498
Checking Apache Airflow for CVE-2024-45498
Ler o holofote →
Checking Apache Tomcat for CVE-2020-11996
Checking Apache Tomcat for CVE-2020-11996
Ler o holofote →
Checking Claude Code GitHub Action workflow permissions
Checking Claude Code GitHub Action workflow permissions
Ler o holofote →
Checking codexui-android for token-stealing package versions
Checking codexui-android for token-stealing package versions
Ler o holofote →
Checking cordova-plugin-inappbrowser for CVE-2019-0219
Checking cordova-plugin-inappbrowser for CVE-2019-0219
Ler o holofote →
Checking DICOM files for executable preambles
Checking DICOM files for executable preambles
Ler o holofote →
Checking Django for CVE-2011-0696
Checking Django for CVE-2011-0696
Ler o holofote →
Checking Drupal Core for CVE-2026-9082
Checking Drupal Core for CVE-2026-9082
Ler o holofote →
Checking easy-day-js for Mastra npm incident package evidence
Checking easy-day-js for Mastra npm incident package evidence
Ler o holofote →
Checking Keras for CVE-2025-1550
Checking Keras for CVE-2025-1550
Ler o holofote →
Checking Langflow CORS exposure for CVE-2025-34291
Checking Langflow CORS exposure for CVE-2025-34291
Ler o holofote →
Checking Log4j 1.2 JDBCAppender for CVE-2022-23305
Checking Log4j 1.2 JDBCAppender for CVE-2022-23305
Ler o holofote →
Checking MindsDB version exposure for CVE-2026-27483
Checking MindsDB version exposure for CVE-2026-27483
Ler o holofote →
Checking MISP STIX import source for CVE-2018-19908
Checking MISP STIX import source for CVE-2018-19908
Ler o holofote →
Checking Moby/Docker Go modules for CVE-2026-34040
Checking Moby/Docker Go modules for CVE-2026-34040
Ler o holofote →
Checking NGINX rewrite configurations for CVE-2026-42945
Checking NGINX rewrite configurations for CVE-2026-42945
Ler o holofote →
Checking NiceGUI upload source for CVE-2026-25732
Checking NiceGUI upload source for CVE-2026-25732
Ler o holofote →
Checking Nokogiri for CVE-2019-18197
Checking Nokogiri for CVE-2019-18197
Ler o holofote →
Checking npm lockfiles for known typosquat package versions
Checking npm lockfiles for known typosquat package versions
Ler o holofote →
Checking ONNX for CVE-2024-5187
Checking ONNX for CVE-2024-5187
Ler o holofote →
Checking Paramiko for CVE-2018-7750
Checking Paramiko for CVE-2018-7750
Ler o holofote →
Checking proxy npm package for CVE-2023-2968
Checking proxy npm package for CVE-2023-2968
Ler o holofote →
Checking Spring Data Commons and XMLBeam for CVE-2018-1259
Checking Spring Data Commons and XMLBeam for CVE-2018-1259
Ler o holofote →
Checking SQLitePCLRaw native SQLite packages for CVE-2025-6965
Checking SQLitePCLRaw native SQLite packages for CVE-2025-6965
Ler o holofote →
Checking vLLM for CVE-2024-9053
Checking vLLM for CVE-2024-9053
Ler o holofote →
Checking WordPress REST API user exposure
Checking WordPress REST API user exposure
Ler o holofote →
Checking YOURLS for CVE-2019-14537
Checking YOURLS for CVE-2019-14537
Ler o holofote →
Postura de origem e proxy da Cloudflare
Se seu IP de origem é descobrível, o WAF da Cloudflare é contornável.
Ler o holofote →
Introspection do GraphQL exposto
Introspection em produção entrega ao atacante todo o seu sistema de tipos.
Ler o holofote →
Cruzamento com threat intel
Spamhaus DBL, URLhaus — a reputação do seu domínio vista de fora.
Ler o holofote →
Documentação de API exposta
/swagger.json, /openapi.json, /docs — mapas públicos de API para você e para o atacante.
Ler o holofote →
Exposição específica da Netlify
URLs de deploy preview da Netlify, headers x-nf-*, erros em _redirects.
Ler o holofote →
Marcadores de conformidade de privacidade e cookies
Páginas exigidas pela LGPD/GDPR — presentes e linkadas, ou você corre risco de denúncia.
Ler o holofote →
Fingerprinting de tecnologia
Conhecer seu stack é metade do reconhecimento — frameworks desatualizados completam a outra metade.
Ler o holofote →
Exposição específica da Vercel
_next/static, headers x-vercel-*, URLs de preview — peculiaridades da Vercel que vazam mais do que deveriam.
Ler o holofote →
06 / 07
Sondagens ativas
AVideo Command Injection Advisory
An outdated AVideo Composer dependency can expose video-link import paths to command execution risk.
Ler o holofote →
Vazamentos de dados entre tenants
SaaS multi-tenant sem enforcement de tenant ID vaza dados de clientes entre orgs.
Ler o holofote →
GeniXCMS Author SQL Injection Exposure
A legacy CMS author filter should not turn one parameter into SQL syntax.
Ler o holofote →
JWT alg=none Acceptance
A decoded token is not an authenticated identity.
Ler o holofote →
MagicMirror /cors SSRF Exposure
A smart-mirror helper endpoint should not become a network proxy.
Ler o holofote →
Moxa NPort Firmware Advisory
A public device-server firmware banner should drive an upgrade, not a crash test.
Ler o holofote →
Injeção de comando do SO
Quando a entrada do usuário vira parte de um comando shell, o shell executa o que o atacante escrever.
Ler o holofote →
rclone RC Authentication Exposure
A public rclone Remote Control API should not answer unauthenticated fsinfo requests.
Ler o holofote →
Injeção de Templates no Servidor (SSTI)
Se o motor de template trata a entrada do usuário como template, o servidor a trata como código.
Ler o holofote →
SiteOmat BOS Authentication Advisory
Fuel-station management software needs version and exposure review, not password guessing.
Ler o holofote →
SiteOmat CGI Buffer Overflow Advisory
Fuel-station controller CGI risk needs patch and exposure review, not exploit probes.
Ler o holofote →
SiteOmat Login SQL Injection Advisory
Fuel-station login risk needs patch and exposure review, not authentication-bypass probes.
Ler o holofote →
Injeção SQL
Quando a entrada do usuário vira parte de uma query, o banco deixa de ser seu.
Ler o holofote →
Defeitos no fluxo de auth
Login, signup, reset de senha — é onde a maioria dos sequestros de conta de fato acontece.
Ler o holofote →
SSRF cego (out-of-band)
Se o servidor busca URLs fornecidas pelo usuário, o usuário pode fazer ele buscar serviços internos.
Ler o holofote →
CKAN DataStore SQL Authorization Bypass
Public DataStore SQL access can turn open data APIs into private data exposure.
Ler o holofote →
Configuração errada de CORS
Access-Control-Allow-Origin permissivo mais credenciais significa que sua API é a API de todo mundo.
Ler o holofote →
XSS baseado em DOM via fragmento de URL
SPAs modernas leem location.hash e escrevem no DOM — payloads do atacante vão junto.
Ler o holofote →
Validação de upload de arquivos
Arquivos enviados por usuários são bytes arbitrários — aceitá-los como 'imagens' sem checar é pedir RCE.
Ler o holofote →
FUXA Hardcoded JWT Fallback Secret
Default token-signing secrets can turn an HMI login into a weak boundary.
Ler o holofote →
GL.iNet GL-MT3000 Firmware Advisory
A router firmware match should drive an upgrade, not a command-execution test.
Ler o holofote →
Bombardeio de profundidade e bypass de batch em GraphQL
A flexibilidade do GraphQL é também sua vulnerabilidade — bombas de profundidade, alias batching, vazamentos de field-suggestion.
Ler o holofote →
HTTP Request Smuggling
Proxy front e backend discordam de onde uma requisição termina — o atacante cavalga a costura.
Ler o holofote →
IDOR / BOLA
Se sua API confia no cliente pra mandar o ID certo, o cliente pode mandar qualquer ID.
Ler o holofote →
IIS TRACK Method Information Disclosure
Legacy HTTP method echo behavior should be disabled before it can expose request headers.
Ler o holofote →
Liferay Portal Template RCE Advisory
Legacy Liferay Portal version evidence should trigger patch verification.
Ler o holofote →
Injeção de prompt em LLM
Se sua feature de IA confia na entrada do usuário como instrução, o usuário pode reescrever o prompt do sistema.
Ler o holofote →
Injeção de operadores NoSQL
Operadores estilo MongoDB em JSON controlado pelo usuário transformam sua query num wildcard.
Ler o holofote →
Cross-Site Scripting Refletido (XSS)
O sequestro silencioso: quando um único parâmetro não sanitizado executa código do atacante nos navegadores dos seus usuários.
Ler o holofote →
Rockwell MicroLogix 1100 Authentication Advisory
Firmware evidence should drive an update and exposure review, not password-guessing tests.
Ler o holofote →
Entidade Externa XML (XXE)
Se seu parser XML resolve entidades externas, seu servidor lê arquivos pro atacante.
Ler o holofote →
ZoneMinder Directory Listing Exposure
A camera management UI should not publish its web root index.
Ler o holofote →
Enumeração de contas
Se seu login responde diferente quando o e-mail existe, atacantes podem montar uma lista de clientes.
Ler o holofote →
Checking gemini-mcp-tool for CVE-2026-0755
Checking gemini-mcp-tool for CVE-2026-0755
Ler o holofote →
Checking Label Studio upload-example XSS exposure
Checking Label Studio upload-example XSS exposure
Ler o holofote →
Checking Langflow version exposure for CVE-2026-33017
Checking Langflow version exposure for CVE-2026-33017
Ler o holofote →
Checking PowerLogic EGX exposure for CVE-2021-22765/CVE-2021-22767/CVE-2021-22768
Checking PowerLogic EGX exposure for CVE-2021-22765/CVE-2021-22767/CVE-2021-22768
Ler o holofote →
Checking TLS endpoints for RC4 support
Checking TLS endpoints for RC4 support
Ler o holofote →
Checking TLS endpoints for Sweet32 DES/3DES support
Checking TLS endpoints for Sweet32 DES/3DES support
Ler o holofote →
Confirming Glances REST API unauthenticated exposure
Confirming Glances REST API unauthenticated exposure
Ler o holofote →
Confirming Next.js middleware bypass exposure
Confirming Next.js middleware bypass exposure
Ler o holofote →
Confirming SillyTavern SearXNG external-fetch SSRF exposure
Confirming SillyTavern SearXNG external-fetch SSRF exposure
Ler o holofote →
Confirming TMT Lockcell login SQL injection exposure
Confirming TMT Lockcell login SQL injection exposure
Ler o holofote →
CRLF / Divisão de resposta
Se a entrada do usuário cair num header de resposta, quebras de linha permitem ao atacante escrever os próprios headers.
Ler o holofote →
Proteção CSRF
Se seus endpoints que mudam estado não exigem token CSRF, sites de terceiros podem agir como seus usuários.
Ler o holofote →
Falta de rate limiting
Sem rate limits em endpoints de auth, o atacante pode fazer credential stuffing na velocidade da linha.
Ler o holofote →
Next.js Header Configuration Drift
Headers set on `/` do not always protect nested routes.
Ler o holofote →
Open Redirect
Seu /redirect?url=… que não valida o destino é um kit de phishing.
Ler o holofote →
SPIP valider_xml XSS Exposure
A legacy SPIP utility page should not reflect URL input into HTML.
Ler o holofote →
07 / 07
Código fonte
deephas Prototype-Pollution Advisory
A vulnerable deephas dependency can put deep-path object handling on a prototype-pollution path.
Ler o holofote →
Ghost Content API SQL Injection Advisory
A vulnerable Ghost dependency can put public content APIs on the database boundary.
Ler o holofote →
LibreNMS Command Injection Advisory
A vulnerable monitoring stack can become an execution path inside the network.
Ler o holofote →
LiteLLM SQL Injection Advisory
A vulnerable LiteLLM Proxy version can turn API-key verification into database exposure.
Ler o holofote →
NLTK Zip Slip Code Execution Advisory
A vulnerable NLTK downloader can turn compromised package archives into filesystem writes and code-execution risk.
Ler o holofote →
openDCIM Command Injection Source Advisory
A database-controlled Graphviz path should not become a shell command.
Ler o holofote →
TanStack ArkType Adapter Malware Advisory
Known malicious npm package versions can put CI and developer secrets at install-time risk.
Ler o holofote →
vm2 Sandbox Breakout Advisory
A vulnerable JavaScript sandbox dependency can put untrusted-code boundaries at risk.
Ler o holofote →
Apache Tomcat Coyote Resource-Shutdown Advisory
An affected Tomcat HTTP/2 runtime can turn reset behavior into resource exhaustion.
Ler o holofote →
Apache Tomcat EncryptInterceptor Advisory
Exact affected Tomcat releases need an upgrade before cluster encryption assumptions are trusted.
Ler o holofote →
Apache Tomcat h2c Request Mix-Up Advisory
Affected Tomcat h2c handling can put request data on the wrong response path.
Ler o holofote →
Apache Tomcat Session-Persistence Advisory
Affected Tomcat runtimes become riskier when FileStore session persistence is enabled.
Ler o holofote →
Committed AI-Generated Secrets
AI snippets should not ship provider keys into git.
Ler o holofote →
Compromised codfish GitHub Action
Release workflows should not keep pointing at compromised Action refs.
Ler o holofote →
electerm Install-Script Command Injection Advisory
A vulnerable terminal-client dependency can put build or developer hosts at install-time risk.
Ler o holofote →
electerm Unauthorized Command Execution Advisory
A stale electerm package can matter when the vulnerable service is packaged and running.
Ler o holofote →
Gogs Directory Traversal Dependency Advisory
An affected Gogs runtime can put file-upload path handling on a traversal boundary.
Ler o holofote →
Gradio Windows Python Path Traversal Advisory
A vulnerable Gradio dependency becomes a stronger signal when repo config points to Windows with Python 3.13+.
Ler o holofote →
Mbed TLS Buffer-Overflow Advisory
Affected Mbed TLS 3.x source evidence deserves an upgrade, not exploit reproduction.
Ler o holofote →
Mbed TLS Double-Free Advisory
Legacy Mbed TLS version evidence deserves branch-aware remediation.
Ler o holofote →
Microsoft ATL MS09-035 Source Advisory
Legacy ATL build metadata deserves rebuild proof, not exploit reproduction.
Ler o holofote →
OpenCms XXE Information-Disclosure Advisory
A vulnerable OpenCms dependency can put XML-processing routes on a file-read boundary.
Ler o holofote →
OpenSSL CMS Message-Parsing Advisory
Affected OpenSSL branch evidence deserves a branch-aware runtime upgrade.
Ler o holofote →
PDF.js JavaScript Execution Advisory
A vulnerable PDF viewer can turn a malicious document into script execution.
Ler o holofote →
PickleScan ZIP CRC Bypass Advisory
A vulnerable PickleScan dependency can miss malicious model archives when scans fail open.
Ler o holofote →
pyLoad /flashgot RCE Advisory
A vulnerable pyLoad dependency is patch-triage evidence, not proof of live RCE.
Ler o holofote →
Padrões de código fonte arriscados
eval(), dangerouslySetInnerHTML, segredos hard-coded — os padrões que o SAST pega há 25 anos.
Ler o holofote →
SaltStack Salt Directory Traversal Advisory
A vulnerable Salt package can weaken Salt master authentication boundaries.
Ler o holofote →
SAP Cloud SDK for AI Python Advisory
A vulnerable SAP Python SDK dependency is patch-triage evidence, not proof of live command execution.
Ler o holofote →
Spring Data Commons Resource-Exhaustion Advisory
Affected Spring Data Commons dependencies can put property-path parsing on a DoS path.
Ler o holofote →
Supabase RLS in Migrations
A public table without RLS is a future data leak.
Ler o holofote →
veraPDF XSLT Injection Dependency Advisory
Affected veraPDF policy-file processing can put XSLT execution boundaries at risk.
Ler o holofote →
Dependências vulneráveis
Seu package-lock.json inclui milhares de pacotes. Alguns têm CVEs conhecidos.
Ler o holofote →
Verificação de assinatura de webhook
Se seu handler de webhook não verifica a assinatura, qualquer um pode forjar eventos.
Ler o holofote →
ws Excessive-Header DoS Advisory
Affected ws server runtimes can crash when upgrade requests carry too many headers.
Ler o holofote →
AI-Generated Code Guardrails
Fast AI-assisted changes need repo-level security rails.
Ler o holofote →
Checking @andrei-tatar/nora-firebase-common for CVE-2024-30564
Checking @andrei-tatar/nora-firebase-common for CVE-2024-30564
Ler o holofote →
Checking Apache ActiveMQ Artemis for CVE-2026-27446
Checking Apache ActiveMQ Artemis for CVE-2026-27446
Ler o holofote →
Checking Apache Spark for CVE-2022-33891
Checking Apache Spark for CVE-2022-33891
Ler o holofote →
Checking Cargo files for the malicious onering crate
Checking Cargo files for the malicious onering crate
Ler o holofote →
Checking http4k-format-xml for CVE-2024-55875
Checking http4k-format-xml for CVE-2024-55875
Ler o holofote →
Checking kill-port-process for CVE-2019-15609
Checking kill-port-process for CVE-2019-15609
Ler o holofote →
Checking Log4j 1.2 JMSAppender for CVE-2021-4104
Checking Log4j 1.2 JMSAppender for CVE-2021-4104
Ler o holofote →
Checking Note Mark backend for CVE-2026-44522
Checking Note Mark backend for CVE-2026-44522
Ler o holofote →
Checking npm package versions and binding.gyp for the Phantom Gyp worm
Checking npm package versions and binding.gyp for the Phantom Gyp worm
Ler o holofote →
Checking OpenSSL PowerPC builds for CVE-2023-6129
Checking OpenSSL PowerPC builds for CVE-2023-6129
Ler o holofote →
Checking Perl GD for CVE-2026-11526
Checking Perl GD for CVE-2026-11526
Ler o holofote →
Checking Red Hat npm package versions for the worm campaign
Checking Red Hat npm package versions for the worm campaign
Ler o holofote →
Checking WebdriverIO BrowserStack service for CVE-2026-25244
Checking WebdriverIO BrowserStack service for CVE-2026-25244
Ler o holofote →
Kubernetes Service ExternalIPs Advisory
ExternalIPs in Service manifests deserve RBAC and admission-policy review.
Ler o holofote →
Mbed TLS Certificate-Validation Advisory
Affected Mbed TLS 3.x evidence deserves upgrade and client-auth review.
Ler o holofote →
OpenSSL TLSv1.3 Session Memory-Growth Advisory
A vulnerable OpenSSL runtime plus no-ticket TLSv1.3 session handling can create DoS risk.
Ler o holofote →
Oracle Java SE / GraalVM Runtime Advisory
Affected Oracle runtime metadata deserves an update, not DoS reproduction.
Ler o holofote →
Higiene de segurança do repositório
Proteção de branch, action pinning, higiene de segredos — como seu repo é tocado importa mais que o código.
Ler o holofote →
Reviewing repo code against web app risk patterns
Reviewing repo code against web app risk patterns
Ler o holofote →
