// investigação de vulnerabilidades
Investigação de vulnerabilidades para sites e apps criados com IA.
Notas baseadas em fontes sobre vulnerabilidades relevantes para apps web gerados por IA, stacks BaaS, bundles de frontend, autenticação e segurança de dependências.
Injeção de SQL no conteúdo fantasma API (CVE-2026-26980)
As versões do Ghost 3.24.0 a 6.19.0 contêm uma vulnerabilidade crítica de injeção de SQL no conteúdo API. Isso permite que invasores não autenticados executem comandos SQL arbitrários, levando potencialmente à exfiltração de dados ou modificações não autorizadas.
Toda a investigação
34 artigos
Execução remota de código no SPIP via tags de modelo (CVE-2016-7998)
As versões 3.1.2 e anteriores do SPIP contêm uma vulnerabilidade no compositor de modelos. Os invasores autenticados podem fazer upload de arquivos HTML com tags INCLUDE ou INCLURE criadas para executar código PHP arbitrário no servidor.
Divulgação de informações de configuração do ZoneMinder Apache (CVE-2016-10140)
As versões 1.29 e 1.30 do ZoneMinder são afetadas por uma configuração incorreta do servidor Apache HTTP agrupado. Essa falha permite que invasores remotos e não autenticados naveguem no diretório raiz da web, levando potencialmente à divulgação de informações confidenciais e ao desvio de autenticação.
Next.js Configuração incorreta do cabeçalho de segurança em next.config.js
Os aplicativos Next.js que usam next.config.js para gerenciamento de cabeçalho são suscetíveis a falhas de segurança se os padrões de correspondência de caminho forem imprecisos. Esta pesquisa explora como as configurações incorretas de curingas e regex levam à falta de cabeçalhos de segurança em rotas confidenciais e como fortalecer a configuração.
Configuração inadequada do cabeçalho de segurança
Os aplicativos da Web geralmente não conseguem implementar cabeçalhos de segurança essenciais, deixando os usuários expostos a scripts entre sites (XSS), clickjacking e injeção de dados. Seguindo as diretrizes de segurança da web estabelecidas e usando ferramentas de auditoria como o Observatório MDN, os desenvolvedores podem fortalecer significativamente seus aplicativos contra ataques comuns baseados em navegador.
Mitigando OWASP Os 10 principais riscos no desenvolvimento rápido da Web
Hackers independentes e pequenas equipes geralmente enfrentam desafios de segurança únicos quando enviam rapidamente, especialmente com código gerado por AI. Esta pesquisa destaca riscos recorrentes das categorias CWE Top 25 e OWASP, incluindo controle de acesso quebrado e configurações inseguras, fornecendo uma base para verificações de segurança automatizadas.
Configurações de cabeçalho HTTP inseguras em aplicativos gerados por AI
Os aplicativos gerados pelos assistentes AI frequentemente carecem de cabeçalhos de segurança HTTP essenciais, não atendendo aos padrões de segurança modernos. Essa omissão deixa os aplicativos da Web vulneráveis a ataques comuns do lado do cliente. Ao utilizar benchmarks como o Mozilla HTTP Observatory, os desenvolvedores podem identificar proteções ausentes, como CSP e HSTS, para melhorar a postura de segurança de seus aplicativos.
Detectando e prevenindo vulnerabilidades de script entre sites (XSS)
Cross-Site Scripting (XSS) ocorre quando um aplicativo inclui dados não confiáveis em uma página da web sem validação ou codificação adequada. Isso permite que os invasores executem scripts maliciosos no navegador da vítima, levando ao sequestro de sessão, ações não autorizadas e exposição de dados confidenciais.
Injeção SQL de proxy LiteLLM (CVE-2026-42208)
Uma vulnerabilidade crítica de injeção de SQL (CVE-2026-42208) no componente proxy do LiteLLM permite que invasores ignorem a autenticação ou acessem informações confidenciais do banco de dados explorando o processo de verificação de chave API.
Riscos de segurança da codificação Vibe: auditoria do código gerado por AI
A ascensão da 'codificação vibratória' - a criação de aplicativos principalmente por meio de prompts rápidos de AI - introduz riscos como credenciais codificadas e padrões de código inseguros. Como os modelos AI podem sugerir código com base em dados de treinamento contendo vulnerabilidades, sua saída deve ser tratada como não confiável e auditada usando ferramentas de verificação automatizadas para evitar a exposição de dados.
Segurança JWT: riscos de tokens inseguros e validação de reivindicação ausente
JSON Web Tokens (JWTs) fornecem um padrão para transferência de declarações, mas a segurança depende de validação rigorosa. A falha na verificação de assinaturas, prazos de validade ou públicos-alvo permite que os invasores ignorem a autenticação ou reproduzam tokens.
Protegendo implantações Vercel: práticas recomendadas de proteção e cabeçalho
Esta pesquisa explora configurações de segurança para aplicativos hospedados em Vercel, com foco em proteção de implantação e cabeçalhos HTTP personalizados. Ele explica como esses recursos protegem os ambientes de visualização e aplicam políticas de segurança no navegador para evitar acesso não autorizado e ataques comuns na Web.
Injeção de comando crítico do sistema operacional no LibreNMS (CVE-2024-51092)
As versões do LibreNMS até 24.9.1 contêm uma vulnerabilidade crítica de injeção de comando do sistema operacional (CVE-2024-51092). Os invasores autenticados podem executar comandos arbitrários no sistema host, levando potencialmente ao comprometimento total da infraestrutura de monitoramento.
Injeção SQL LiteLLM na verificação de chave do proxy API (CVE-2026-42208)
As versões 1.81.16 a 1.83.6 do LiteLLM contêm uma vulnerabilidade crítica de injeção de SQL na lógica de verificação de chave Proxy API. Essa falha permite que invasores não autenticados contornem os controles de autenticação ou acessem o banco de dados subjacente. O problema foi resolvido na versão 1.83.7.
Firebase Regras de segurança: prevenção da exposição não autorizada de dados
As regras de segurança Firebase são a principal defesa para aplicativos sem servidor que usam Firestore e Cloud Storage. Quando essas regras são muito permissivas, como permitir acesso global de leitura ou gravação na produção, os invasores podem ignorar a lógica pretendida do aplicativo para roubar ou excluir dados confidenciais. Esta pesquisa explora configurações incorretas comuns, os riscos dos padrões de “modo de teste” e como implementar o controle de acesso baseado em identidade.
Proteção CSRF: Defesa Contra Mudanças de Estado Não Autorizadas
A falsificação de solicitações entre sites (CSRF) continua sendo uma ameaça significativa para aplicativos da web. Esta pesquisa explora como estruturas modernas como Django implementam proteção e como atributos em nível de navegador, como SameSite, fornecem defesa profunda contra solicitações não autorizadas.
Lista de verificação de segurança API: 12 coisas a verificar antes de entrar no ar
As APIs são a espinha dorsal das aplicações web modernas, mas muitas vezes carecem do rigor de segurança dos frontends tradicionais. Este artigo de pesquisa descreve uma lista de verificação essencial para proteger APIs, com foco no controle de acesso, limitação de taxa e compartilhamento de recursos entre origens (CORS) para evitar violações de dados e abuso de serviço.
Vazamento de chave API: riscos e remediação em aplicativos da Web modernos
Segredos codificados no código front-end ou no histórico do repositório permitem que invasores se façam passar por serviços, acessem dados privados e incorram em custos. Este artigo aborda os riscos de vazamento secreto e as etapas necessárias para limpeza e prevenção.
Configuração incorreta de CORS: riscos de políticas excessivamente permissivas
O Compartilhamento de Recursos de Origem Cruzada (CORS) é um mecanismo de navegador projetado para relaxar a Política de Mesma Origem (SOP). Embora necessária para aplicativos da web modernos, a implementação inadequada – como ecoar o cabeçalho Origin do solicitante ou colocar a origem “nula” na lista de permissões – pode permitir que sites maliciosos exfiltrem dados privados do usuário.
Protegendo o MVP: evitando vazamentos de dados em aplicativos SaaS gerados por AI
Os aplicativos SaaS desenvolvidos rapidamente muitas vezes sofrem com falhas críticas de segurança. Esta pesquisa explora como segredos vazados e controles de acesso quebrados, como falta de segurança em nível de linha (RLS), criam vulnerabilidades de alto impacto em pilhas da web modernas.