// прожектор уязвимостей
Каждая проверка FixVibe,
разобранная по полочкам.
164+ классов уязвимостей в комплекте FixVibe. Каждая запись запускает до 35 под-проверок за скан и разбирает, как работает баг, что получает атакующий, как мы его проверяем и что нужно для защиты.
01 / 07
HTTP и поверхность
Атрибуты cookie сессии
HttpOnly, Secure, SameSite — три флага, превращающие cookie сессии в нечто, что атакующему не так просто украсть.
Читать прожектор →
Заголовки безопасности HTTP
Заголовки — бесплатная защита, а большинство приложений всё ещё выкатывается без них.
Читать прожектор →
Конфигурация TLS
Старые шифронаборы плюс отсутствие HSTS равно враждебному Wi-Fi на расстоянии перехвата сессии.
Читать прожектор →
Vercel Deployment Protection
Generated deployment URLs should not become public staging doors.
Читать прожектор →
02 / 07
Секреты
Захардкоженные паттерны секретов
Ключи Stripe, креды AWS, токены OpenAI — паттерн-матчинг ловит простые ошибки.
Читать прожектор →
Секреты в JavaScript-бандлах
Если это попало в клиентский бандл, это не секрет — это публикация.
Читать прожектор →
Целостность JWT (alg confusion, слабые секреты)
Если твой верификатор JWT доверяет заголовку самого токена, он поверит чему угодно, что напишет атакующий.
Читать прожектор →
Токены в браузерном хранилище
localStorage читается из JavaScript. Хранящиеся там токены auth по дизайну угоняются через XSS.
Читать прожектор →
Открытые source maps
Если твои .map-файлы публичны — атакующий читает твой TypeScript.
Читать прожектор →
Утечки информации в JavaScript
Внутренние API-хосты, баннеры версий, TODO-комментарии — мелкие утечки складываются в карту твоего стека.
Читать прожектор →
03 / 07
Backend-as-a-Service
Правила безопасности Firebase
`allow read, write: if true` прямо сейчас — чья-то прод-база.
Читать прожектор →
Row-Level Security в Supabase
Без RLS на каждой публичной таблице твой anon-ключ — пропуск к чтению чего угодно.
Читать прожектор →
Конфигурация Clerk и Auth0
Identity-провайдеры утекают больше, чем должны, если дефолты не подкручены.
Читать прожектор →
Supabase Storage and API Posture
Public buckets and anon-listable objects are where BaaS data leaks start.
Читать прожектор →
04 / 07
DNS
Netmaker DNS Key Authorization Bypass
A VPN control-plane DNS API should not trust a legacy default key.
Читать прожектор →
Захват поддомена
CNAME, указывающий на нерегистрированный облачный ресурс, — приглашение хостить фишинг на твоём домене.
Читать прожектор →
SPF / DKIM / DMARC
Без этих трёх записей кто угодно может рассылать письма от твоего имени.
Читать прожектор →
05 / 07
Discovery
Arcserve UDP Heap Overflow Advisory
Backup management consoles should not expose affected UDP versions.
Читать прожектор →
Schneider Modicon M221 Firmware Advisory
PLC firmware evidence should drive patch and segmentation review, not reboot or authentication replay tests.
Читать прожектор →
Сверка с CVE
Обнаруженная версия + публичная база CVE = список уже задокументированных атак.
Читать прожектор →
Debug- и admin-эндпоинты
/debug, /admin, /server-status — пути, которые никогда не должны быть доступны из интернета.
Читать прожектор →
Открытые файлы и резервные директории
.env, .git, .DS_Store, backup.sql — файлы, которые никогда не должны быть публичными, оказываются такими случайно.
Читать прожектор →
Rockwell MicroLogix 1100 DoS Advisory
An exposed PLC fingerprint is an operations risk, not something to crash-test.
Читать прожектор →
SPIP Template RCE Version Exposure
Public SPIP version banners can reveal an RCE-class patch gap.
Читать прожектор →
Checking Apache ActiveMQ Artemis for CVE-2023-50780
Checking Apache ActiveMQ Artemis for CVE-2023-50780
Читать прожектор →
Checking Apache Airflow for CVE-2024-45498
Checking Apache Airflow for CVE-2024-45498
Читать прожектор →
Checking Apache Tomcat for CVE-2020-11996
Checking Apache Tomcat for CVE-2020-11996
Читать прожектор →
Checking Claude Code GitHub Action workflow permissions
Checking Claude Code GitHub Action workflow permissions
Читать прожектор →
Checking codexui-android for token-stealing package versions
Checking codexui-android for token-stealing package versions
Читать прожектор →
Checking cordova-plugin-inappbrowser for CVE-2019-0219
Checking cordova-plugin-inappbrowser for CVE-2019-0219
Читать прожектор →
Checking DICOM files for executable preambles
Checking DICOM files for executable preambles
Читать прожектор →
Checking Django for CVE-2011-0696
Checking Django for CVE-2011-0696
Читать прожектор →
Checking Drupal Core for CVE-2026-9082
Checking Drupal Core for CVE-2026-9082
Читать прожектор →
Checking easy-day-js for Mastra npm incident package evidence
Checking easy-day-js for Mastra npm incident package evidence
Читать прожектор →
Checking Keras for CVE-2025-1550
Checking Keras for CVE-2025-1550
Читать прожектор →
Checking Langflow CORS exposure for CVE-2025-34291
Checking Langflow CORS exposure for CVE-2025-34291
Читать прожектор →
Checking Log4j 1.2 JDBCAppender for CVE-2022-23305
Checking Log4j 1.2 JDBCAppender for CVE-2022-23305
Читать прожектор →
Checking MindsDB version exposure for CVE-2026-27483
Checking MindsDB version exposure for CVE-2026-27483
Читать прожектор →
Checking MISP STIX import source for CVE-2018-19908
Checking MISP STIX import source for CVE-2018-19908
Читать прожектор →
Checking Moby/Docker Go modules for CVE-2026-34040
Checking Moby/Docker Go modules for CVE-2026-34040
Читать прожектор →
Checking NGINX rewrite configurations for CVE-2026-42945
Checking NGINX rewrite configurations for CVE-2026-42945
Читать прожектор →
Checking NiceGUI upload source for CVE-2026-25732
Checking NiceGUI upload source for CVE-2026-25732
Читать прожектор →
Checking Nokogiri for CVE-2019-18197
Checking Nokogiri for CVE-2019-18197
Читать прожектор →
Checking npm lockfiles for known typosquat package versions
Checking npm lockfiles for known typosquat package versions
Читать прожектор →
Checking ONNX for CVE-2024-5187
Checking ONNX for CVE-2024-5187
Читать прожектор →
Checking Paramiko for CVE-2018-7750
Checking Paramiko for CVE-2018-7750
Читать прожектор →
Checking proxy npm package for CVE-2023-2968
Checking proxy npm package for CVE-2023-2968
Читать прожектор →
Checking Spring Data Commons and XMLBeam for CVE-2018-1259
Checking Spring Data Commons and XMLBeam for CVE-2018-1259
Читать прожектор →
Checking SQLitePCLRaw native SQLite packages for CVE-2025-6965
Checking SQLitePCLRaw native SQLite packages for CVE-2025-6965
Читать прожектор →
Checking vLLM for CVE-2024-9053
Checking vLLM for CVE-2024-9053
Читать прожектор →
Checking WordPress REST API user exposure
Checking WordPress REST API user exposure
Читать прожектор →
Checking YOURLS for CVE-2019-14537
Checking YOURLS for CVE-2019-14537
Читать прожектор →
Поза origin и прокси Cloudflare
Если твой origin IP обнаружим, WAF Cloudflare обходим.
Читать прожектор →
Открытая интроспекция GraphQL
Интроспекция в проде вручает атакующему всю систему типов.
Читать прожектор →
Сверка с threat intel
Spamhaus DBL, URLhaus — репутация твоего домена снаружи.
Читать прожектор →
Открытая документация API
/swagger.json, /openapi.json, /docs — публичные карты API и для тебя, и для атакующего.
Читать прожектор →
Утечки, специфичные для Netlify
URL Netlify deploy preview, заголовки x-nf-*, ошибки в _redirects.
Читать прожектор →
Маркеры соответствия требованиям приватности и cookie
Страницы, требуемые GDPR — должны существовать и быть слинкованы, иначе риск жалобы.
Читать прожектор →
Фингерпринтинг технологий
Знать твой стек — половина разведки, устаревшие фреймворки добавляют вторую половину.
Читать прожектор →
Утечки, специфичные для Vercel
_next/static, заголовки x-vercel-*, preview-URL — Vercel-измы, утекающие больше, чем должны.
Читать прожектор →
06 / 07
Активные пробы
AVideo Command Injection Advisory
An outdated AVideo Composer dependency can expose video-link import paths to command execution risk.
Читать прожектор →
Утечки данных между тенантами
Multi-tenant SaaS без enforce-ивания tenant ID утекает данные клиентов между организациями.
Читать прожектор →
GeniXCMS Author SQL Injection Exposure
A legacy CMS author filter should not turn one parameter into SQL syntax.
Читать прожектор →
JWT alg=none Acceptance
A decoded token is not an authenticated identity.
Читать прожектор →
MagicMirror /cors SSRF Exposure
A smart-mirror helper endpoint should not become a network proxy.
Читать прожектор →
Moxa NPort Firmware Advisory
A public device-server firmware banner should drive an upgrade, not a crash test.
Читать прожектор →
Инъекция команд ОС
Когда пользовательский ввод становится частью shell-команды, shell выполняет всё, что напишет атакующий.
Читать прожектор →
rclone RC Authentication Exposure
A public rclone Remote Control API should not answer unauthenticated fsinfo requests.
Читать прожектор →
Серверная инъекция шаблонов (SSTI)
Если шаблонизатор воспринимает пользовательский ввод как шаблон, сервер воспринимает его как код.
Читать прожектор →
SiteOmat BOS Authentication Advisory
Fuel-station management software needs version and exposure review, not password guessing.
Читать прожектор →
SiteOmat CGI Buffer Overflow Advisory
Fuel-station controller CGI risk needs patch and exposure review, not exploit probes.
Читать прожектор →
SiteOmat Login SQL Injection Advisory
Fuel-station login risk needs patch and exposure review, not authentication-bypass probes.
Читать прожектор →
SQL-инъекция
Когда пользовательский ввод становится частью запроса, база данных перестаёт быть твоей.
Читать прожектор →
Дефекты flow аутентификации
Логин, регистрация, сброс пароля — большинство угонов аккаунтов реально происходят здесь.
Читать прожектор →
Слепой SSRF (out-of-band)
Если сервер тянет URL-ы от пользователя, пользователь может заставить его тянуть внутренние сервисы.
Читать прожектор →
CKAN DataStore SQL Authorization Bypass
Public DataStore SQL access can turn open data APIs into private data exposure.
Читать прожектор →
Неверная настройка CORS
Разрешающий Access-Control-Allow-Origin плюс credentials означает, что твоё API — общее API.
Читать прожектор →
DOM-XSS через URL-фрагмент
Современные SPA читают location.hash и пишут его в DOM — пейлоады атакующего едут вместе.
Читать прожектор →
Валидация загрузки файлов
Файлы, загруженные пользователем, — произвольные байты. Принимать их как «картинки» без проверки — звать RCE.
Читать прожектор →
FUXA Hardcoded JWT Fallback Secret
Default token-signing secrets can turn an HMI login into a weak boundary.
Читать прожектор →
GL.iNet GL-MT3000 Firmware Advisory
A router firmware match should drive an upgrade, not a command-execution test.
Читать прожектор →
Бомбы глубины GraphQL и обход батчинга
Гибкость GraphQL — это и его уязвимость: бомбы глубины, alias-батчинг, утечки field-suggestion.
Читать прожектор →
HTTP Request Smuggling
Front-прокси и бэкенд расходятся в том, где заканчивается запрос — атакующий едет по шву.
Читать прожектор →
IDOR / BOLA
Если твоё API доверяет клиенту слать правильный ID, клиент может слать любой ID.
Читать прожектор →
IIS TRACK Method Information Disclosure
Legacy HTTP method echo behavior should be disabled before it can expose request headers.
Читать прожектор →
Liferay Portal Template RCE Advisory
Legacy Liferay Portal version evidence should trigger patch verification.
Читать прожектор →
Инъекция промпта в LLM
Если твоя AI-фича доверяет пользовательскому вводу как инструкции, пользователь может переписать системный промпт.
Читать прожектор →
Инъекция операторов NoSQL
MongoDB-операторы в JSON, который контролирует пользователь, превращают запрос в wildcard.
Читать прожектор →
Отражённый межсайтовый скриптинг (XSS)
Тихий перехват: один не очищенный параметр выполняет код атакующего в браузерах твоих пользователей.
Читать прожектор →
Rockwell MicroLogix 1100 Authentication Advisory
Firmware evidence should drive an update and exposure review, not password-guessing tests.
Читать прожектор →
XML External Entity (XXE)
Если XML-парсер резолвит внешние сущности, сервер читает файлы для атакующего.
Читать прожектор →
ZoneMinder Directory Listing Exposure
A camera management UI should not publish its web root index.
Читать прожектор →
Перечисление аккаунтов
Если логин отвечает по-разному, когда email есть и когда его нет, атакующие могут собрать список клиентов.
Читать прожектор →
Checking gemini-mcp-tool for CVE-2026-0755
Checking gemini-mcp-tool for CVE-2026-0755
Читать прожектор →
Checking Label Studio upload-example XSS exposure
Checking Label Studio upload-example XSS exposure
Читать прожектор →
Checking Langflow version exposure for CVE-2026-33017
Checking Langflow version exposure for CVE-2026-33017
Читать прожектор →
Checking PowerLogic EGX exposure for CVE-2021-22765/CVE-2021-22767/CVE-2021-22768
Checking PowerLogic EGX exposure for CVE-2021-22765/CVE-2021-22767/CVE-2021-22768
Читать прожектор →
Checking TLS endpoints for RC4 support
Checking TLS endpoints for RC4 support
Читать прожектор →
Checking TLS endpoints for Sweet32 DES/3DES support
Checking TLS endpoints for Sweet32 DES/3DES support
Читать прожектор →
Confirming Glances REST API unauthenticated exposure
Confirming Glances REST API unauthenticated exposure
Читать прожектор →
Confirming Next.js middleware bypass exposure
Confirming Next.js middleware bypass exposure
Читать прожектор →
Confirming SillyTavern SearXNG external-fetch SSRF exposure
Confirming SillyTavern SearXNG external-fetch SSRF exposure
Читать прожектор →
Confirming TMT Lockcell login SQL injection exposure
Confirming TMT Lockcell login SQL injection exposure
Читать прожектор →
CRLF / Response Splitting
Если пользовательский ввод попадает в заголовок ответа, переводы строк позволяют атакующему писать свои заголовки.
Читать прожектор →
Защита от CSRF
Если эндпоинты, меняющие состояние, не требуют CSRF-токен, сторонние сайты могут действовать как твои пользователи.
Читать прожектор →
Отсутствие rate-limit
Без rate-limit на auth-эндпоинтах атакующий может делать credential stuffing на скорости канала.
Читать прожектор →
Next.js Header Configuration Drift
Headers set on `/` do not always protect nested routes.
Читать прожектор →
Open Redirect
Твой /redirect?url=…, не валидирующий целевой адрес — готовый фишинг-кит.
Читать прожектор →
SPIP valider_xml XSS Exposure
A legacy SPIP utility page should not reflect URL input into HTML.
Читать прожектор →
07 / 07
Исходный код
deephas Prototype-Pollution Advisory
A vulnerable deephas dependency can put deep-path object handling on a prototype-pollution path.
Читать прожектор →
Ghost Content API SQL Injection Advisory
A vulnerable Ghost dependency can put public content APIs on the database boundary.
Читать прожектор →
LibreNMS Command Injection Advisory
A vulnerable monitoring stack can become an execution path inside the network.
Читать прожектор →
LiteLLM SQL Injection Advisory
A vulnerable LiteLLM Proxy version can turn API-key verification into database exposure.
Читать прожектор →
NLTK Zip Slip Code Execution Advisory
A vulnerable NLTK downloader can turn compromised package archives into filesystem writes and code-execution risk.
Читать прожектор →
openDCIM Command Injection Source Advisory
A database-controlled Graphviz path should not become a shell command.
Читать прожектор →
TanStack ArkType Adapter Malware Advisory
Known malicious npm package versions can put CI and developer secrets at install-time risk.
Читать прожектор →
vm2 Sandbox Breakout Advisory
A vulnerable JavaScript sandbox dependency can put untrusted-code boundaries at risk.
Читать прожектор →
Apache Tomcat Coyote Resource-Shutdown Advisory
An affected Tomcat HTTP/2 runtime can turn reset behavior into resource exhaustion.
Читать прожектор →
Apache Tomcat EncryptInterceptor Advisory
Exact affected Tomcat releases need an upgrade before cluster encryption assumptions are trusted.
Читать прожектор →
Apache Tomcat h2c Request Mix-Up Advisory
Affected Tomcat h2c handling can put request data on the wrong response path.
Читать прожектор →
Apache Tomcat Session-Persistence Advisory
Affected Tomcat runtimes become riskier when FileStore session persistence is enabled.
Читать прожектор →
Committed AI-Generated Secrets
AI snippets should not ship provider keys into git.
Читать прожектор →
Compromised codfish GitHub Action
Release workflows should not keep pointing at compromised Action refs.
Читать прожектор →
electerm Install-Script Command Injection Advisory
A vulnerable terminal-client dependency can put build or developer hosts at install-time risk.
Читать прожектор →
electerm Unauthorized Command Execution Advisory
A stale electerm package can matter when the vulnerable service is packaged and running.
Читать прожектор →
Gogs Directory Traversal Dependency Advisory
An affected Gogs runtime can put file-upload path handling on a traversal boundary.
Читать прожектор →
Gradio Windows Python Path Traversal Advisory
A vulnerable Gradio dependency becomes a stronger signal when repo config points to Windows with Python 3.13+.
Читать прожектор →
Mbed TLS Buffer-Overflow Advisory
Affected Mbed TLS 3.x source evidence deserves an upgrade, not exploit reproduction.
Читать прожектор →
Mbed TLS Double-Free Advisory
Legacy Mbed TLS version evidence deserves branch-aware remediation.
Читать прожектор →
Microsoft ATL MS09-035 Source Advisory
Legacy ATL build metadata deserves rebuild proof, not exploit reproduction.
Читать прожектор →
OpenCms XXE Information-Disclosure Advisory
A vulnerable OpenCms dependency can put XML-processing routes on a file-read boundary.
Читать прожектор →
OpenSSL CMS Message-Parsing Advisory
Affected OpenSSL branch evidence deserves a branch-aware runtime upgrade.
Читать прожектор →
PDF.js JavaScript Execution Advisory
A vulnerable PDF viewer can turn a malicious document into script execution.
Читать прожектор →
PickleScan ZIP CRC Bypass Advisory
A vulnerable PickleScan dependency can miss malicious model archives when scans fail open.
Читать прожектор →
pyLoad /flashgot RCE Advisory
A vulnerable pyLoad dependency is patch-triage evidence, not proof of live RCE.
Читать прожектор →
Рискованные паттерны исходного кода
eval(), dangerouslySetInnerHTML, захардкоженные секреты — паттерны, которые SAST ловит уже 25 лет.
Читать прожектор →
SaltStack Salt Directory Traversal Advisory
A vulnerable Salt package can weaken Salt master authentication boundaries.
Читать прожектор →
SAP Cloud SDK for AI Python Advisory
A vulnerable SAP Python SDK dependency is patch-triage evidence, not proof of live command execution.
Читать прожектор →
Spring Data Commons Resource-Exhaustion Advisory
Affected Spring Data Commons dependencies can put property-path parsing on a DoS path.
Читать прожектор →
Supabase RLS in Migrations
A public table without RLS is a future data leak.
Читать прожектор →
veraPDF XSLT Injection Dependency Advisory
Affected veraPDF policy-file processing can put XSLT execution boundaries at risk.
Читать прожектор →
Уязвимые зависимости
Твой package-lock.json содержит тысячи пакетов. У некоторых есть известные CVE.
Читать прожектор →
Проверка подписи webhook
Если обработчик webhook не проверяет подпись, кто угодно может подделать события.
Читать прожектор →
ws Excessive-Header DoS Advisory
Affected ws server runtimes can crash when upgrade requests carry too many headers.
Читать прожектор →
AI-Generated Code Guardrails
Fast AI-assisted changes need repo-level security rails.
Читать прожектор →
Checking @andrei-tatar/nora-firebase-common for CVE-2024-30564
Checking @andrei-tatar/nora-firebase-common for CVE-2024-30564
Читать прожектор →
Checking Apache ActiveMQ Artemis for CVE-2026-27446
Checking Apache ActiveMQ Artemis for CVE-2026-27446
Читать прожектор →
Checking Apache Spark for CVE-2022-33891
Checking Apache Spark for CVE-2022-33891
Читать прожектор →
Checking Cargo files for the malicious onering crate
Checking Cargo files for the malicious onering crate
Читать прожектор →
Checking http4k-format-xml for CVE-2024-55875
Checking http4k-format-xml for CVE-2024-55875
Читать прожектор →
Checking kill-port-process for CVE-2019-15609
Checking kill-port-process for CVE-2019-15609
Читать прожектор →
Checking Log4j 1.2 JMSAppender for CVE-2021-4104
Checking Log4j 1.2 JMSAppender for CVE-2021-4104
Читать прожектор →
Checking Note Mark backend for CVE-2026-44522
Checking Note Mark backend for CVE-2026-44522
Читать прожектор →
Checking npm package versions and binding.gyp for the Phantom Gyp worm
Checking npm package versions and binding.gyp for the Phantom Gyp worm
Читать прожектор →
Checking OpenSSL PowerPC builds for CVE-2023-6129
Checking OpenSSL PowerPC builds for CVE-2023-6129
Читать прожектор →
Checking Perl GD for CVE-2026-11526
Checking Perl GD for CVE-2026-11526
Читать прожектор →
Checking Red Hat npm package versions for the worm campaign
Checking Red Hat npm package versions for the worm campaign
Читать прожектор →
Checking WebdriverIO BrowserStack service for CVE-2026-25244
Checking WebdriverIO BrowserStack service for CVE-2026-25244
Читать прожектор →
Kubernetes Service ExternalIPs Advisory
ExternalIPs in Service manifests deserve RBAC and admission-policy review.
Читать прожектор →
Mbed TLS Certificate-Validation Advisory
Affected Mbed TLS 3.x evidence deserves upgrade and client-auth review.
Читать прожектор →
OpenSSL TLSv1.3 Session Memory-Growth Advisory
A vulnerable OpenSSL runtime plus no-ticket TLSv1.3 session handling can create DoS risk.
Читать прожектор →
Oracle Java SE / GraalVM Runtime Advisory
Affected Oracle runtime metadata deserves an update, not DoS reproduction.
Читать прожектор →
Безопасность гигиены репозитория
Защита веток, пиннинг actions, гигиена секретов — то, как ведётся репозиторий, важнее самого кода.
Читать прожектор →
Reviewing repo code against web app risk patterns
Reviewing repo code against web app risk patterns
Читать прожектор →
