FixVibe

// прожектор уязвимостей

Каждая проверка FixVibe,
разобранная по полочкам.

164+ классов уязвимостей в комплекте FixVibe. Каждая запись запускает до 35 под-проверок за скан и разбирает, как работает баг, что получает атакующий, как мы его проверяем и что нужно для защиты.

01 / 07

HTTP и поверхность

02 / 07

Секреты

критический· CWE-798

Захардкоженные паттерны секретов

Ключи Stripe, креды AWS, токены OpenAI — паттерн-матчинг ловит простые ошибки.

Читать прожектор

критический· CWE-798

Секреты в JavaScript-бандлах

Если это попало в клиентский бандл, это не секрет — это публикация.

Читать прожектор

высокий· CWE-345

Целостность JWT (alg confusion, слабые секреты)

Если твой верификатор JWT доверяет заголовку самого токена, он поверит чему угодно, что напишет атакующий.

Читать прожектор

высокий· CWE-922

Токены в браузерном хранилище

localStorage читается из JavaScript. Хранящиеся там токены auth по дизайну угоняются через XSS.

Читать прожектор

средний· CWE-540

Открытые source maps

Если твои .map-файлы публичны — атакующий читает твой TypeScript.

Читать прожектор

низкий· CWE-200

Утечки информации в JavaScript

Внутренние API-хосты, баннеры версий, TODO-комментарии — мелкие утечки складываются в карту твоего стека.

Читать прожектор

03 / 07

Backend-as-a-Service

04 / 07

DNS

05 / 07

Discovery

критический· CWE-122

Arcserve UDP Heap Overflow Advisory

Backup management consoles should not expose affected UDP versions.

Читать прожектор

критический· CWE-754 / CWE-294

Schneider Modicon M221 Firmware Advisory

PLC firmware evidence should drive patch and segmentation review, not reboot or authentication replay tests.

Читать прожектор

высокий· CWE-1395

Сверка с CVE

Обнаруженная версия + публичная база CVE = список уже задокументированных атак.

Читать прожектор

высокий· CWE-489

Debug- и admin-эндпоинты

/debug, /admin, /server-status — пути, которые никогда не должны быть доступны из интернета.

Читать прожектор

высокий· CWE-538

Открытые файлы и резервные директории

.env, .git, .DS_Store, backup.sql — файлы, которые никогда не должны быть публичными, оказываются такими случайно.

Читать прожектор

высокий· CWE-20

Rockwell MicroLogix 1100 DoS Advisory

An exposed PLC fingerprint is an operations risk, not something to crash-test.

Читать прожектор

высокий· CWE-20

SPIP Template RCE Version Exposure

Public SPIP version banners can reveal an RCE-class patch gap.

Читать прожектор

средний

Checking Apache ActiveMQ Artemis for CVE-2023-50780

Checking Apache ActiveMQ Artemis for CVE-2023-50780

Читать прожектор

средний

Checking Apache Airflow for CVE-2024-45498

Checking Apache Airflow for CVE-2024-45498

Читать прожектор

средний

Checking Apache Tomcat for CVE-2020-11996

Checking Apache Tomcat for CVE-2020-11996

Читать прожектор

средний

Checking Claude Code GitHub Action workflow permissions

Checking Claude Code GitHub Action workflow permissions

Читать прожектор

средний

Checking codexui-android for token-stealing package versions

Checking codexui-android for token-stealing package versions

Читать прожектор

средний

Checking cordova-plugin-inappbrowser for CVE-2019-0219

Checking cordova-plugin-inappbrowser for CVE-2019-0219

Читать прожектор

средний

Checking DICOM files for executable preambles

Checking DICOM files for executable preambles

Читать прожектор

средний

Checking Django for CVE-2011-0696

Checking Django for CVE-2011-0696

Читать прожектор

средний

Checking Drupal Core for CVE-2026-9082

Checking Drupal Core for CVE-2026-9082

Читать прожектор

средний

Checking easy-day-js for Mastra npm incident package evidence

Checking easy-day-js for Mastra npm incident package evidence

Читать прожектор

средний

Checking Keras for CVE-2025-1550

Checking Keras for CVE-2025-1550

Читать прожектор

средний

Checking Langflow CORS exposure for CVE-2025-34291

Checking Langflow CORS exposure for CVE-2025-34291

Читать прожектор

средний

Checking Log4j 1.2 JDBCAppender for CVE-2022-23305

Checking Log4j 1.2 JDBCAppender for CVE-2022-23305

Читать прожектор

средний

Checking MindsDB version exposure for CVE-2026-27483

Checking MindsDB version exposure for CVE-2026-27483

Читать прожектор

средний

Checking MISP STIX import source for CVE-2018-19908

Checking MISP STIX import source for CVE-2018-19908

Читать прожектор

средний

Checking Moby/Docker Go modules for CVE-2026-34040

Checking Moby/Docker Go modules for CVE-2026-34040

Читать прожектор

средний

Checking NGINX rewrite configurations for CVE-2026-42945

Checking NGINX rewrite configurations for CVE-2026-42945

Читать прожектор

средний

Checking NiceGUI upload source for CVE-2026-25732

Checking NiceGUI upload source for CVE-2026-25732

Читать прожектор

средний

Checking Nokogiri for CVE-2019-18197

Checking Nokogiri for CVE-2019-18197

Читать прожектор

средний

Checking npm lockfiles for known typosquat package versions

Checking npm lockfiles for known typosquat package versions

Читать прожектор

средний

Checking ONNX for CVE-2024-5187

Checking ONNX for CVE-2024-5187

Читать прожектор

средний

Checking Paramiko for CVE-2018-7750

Checking Paramiko for CVE-2018-7750

Читать прожектор

средний

Checking proxy npm package for CVE-2023-2968

Checking proxy npm package for CVE-2023-2968

Читать прожектор

средний

Checking Spring Data Commons and XMLBeam for CVE-2018-1259

Checking Spring Data Commons and XMLBeam for CVE-2018-1259

Читать прожектор

средний

Checking SQLitePCLRaw native SQLite packages for CVE-2025-6965

Checking SQLitePCLRaw native SQLite packages for CVE-2025-6965

Читать прожектор

средний

Checking vLLM for CVE-2024-9053

Checking vLLM for CVE-2024-9053

Читать прожектор

средний

Checking WordPress REST API user exposure

Checking WordPress REST API user exposure

Читать прожектор

средний

Checking YOURLS for CVE-2019-14537

Checking YOURLS for CVE-2019-14537

Читать прожектор

средний· CWE-693

Поза origin и прокси Cloudflare

Если твой origin IP обнаружим, WAF Cloudflare обходим.

Читать прожектор

средний· CWE-200

Открытая интроспекция GraphQL

Интроспекция в проде вручает атакующему всю систему типов.

Читать прожектор

средний· CWE-693

Сверка с threat intel

Spamhaus DBL, URLhaus — репутация твоего домена снаружи.

Читать прожектор

низкий· CWE-200

Открытая документация API

/swagger.json, /openapi.json, /docs — публичные карты API и для тебя, и для атакующего.

Читать прожектор

низкий· CWE-200

Утечки, специфичные для Netlify

URL Netlify deploy preview, заголовки x-nf-*, ошибки в _redirects.

Читать прожектор

низкий· CWE-281

Маркеры соответствия требованиям приватности и cookie

Страницы, требуемые GDPR — должны существовать и быть слинкованы, иначе риск жалобы.

Читать прожектор

низкий· CWE-200

Фингерпринтинг технологий

Знать твой стек — половина разведки, устаревшие фреймворки добавляют вторую половину.

Читать прожектор

низкий· CWE-200

Утечки, специфичные для Vercel

_next/static, заголовки x-vercel-*, preview-URL — Vercel-измы, утекающие больше, чем должны.

Читать прожектор

06 / 07

Активные пробы

критический· CWE-78

AVideo Command Injection Advisory

An outdated AVideo Composer dependency can expose video-link import paths to command execution risk.

Читать прожектор

критический· CWE-639

Утечки данных между тенантами

Multi-tenant SaaS без enforce-ивания tenant ID утекает данные клиентов между организациями.

Читать прожектор

критический· CWE-89

GeniXCMS Author SQL Injection Exposure

A legacy CMS author filter should not turn one parameter into SQL syntax.

Читать прожектор

критический· CWE-345

JWT alg=none Acceptance

A decoded token is not an authenticated identity.

Читать прожектор

критический· CWE-918

MagicMirror /cors SSRF Exposure

A smart-mirror helper endpoint should not become a network proxy.

Читать прожектор

критический· CWE-119 / CWE-120 / CWE-287 / CWE-306 / CWE-307

Moxa NPort Firmware Advisory

A public device-server firmware banner should drive an upgrade, not a crash test.

Читать прожектор

критический· CWE-78

Инъекция команд ОС

Когда пользовательский ввод становится частью shell-команды, shell выполняет всё, что напишет атакующий.

Читать прожектор

критический· CWE-306

rclone RC Authentication Exposure

A public rclone Remote Control API should not answer unauthenticated fsinfo requests.

Читать прожектор

критический· CWE-94

Серверная инъекция шаблонов (SSTI)

Если шаблонизатор воспринимает пользовательский ввод как шаблон, сервер воспринимает его как код.

Читать прожектор

критический· CWE-798 / CWE-287

SiteOmat BOS Authentication Advisory

Fuel-station management software needs version and exposure review, not password guessing.

Читать прожектор

критический· CWE-119 / CWE-121

SiteOmat CGI Buffer Overflow Advisory

Fuel-station controller CGI risk needs patch and exposure review, not exploit probes.

Читать прожектор

критический· CWE-89

SiteOmat Login SQL Injection Advisory

Fuel-station login risk needs patch and exposure review, not authentication-bypass probes.

Читать прожектор

критический· CWE-89

SQL-инъекция

Когда пользовательский ввод становится частью запроса, база данных перестаёт быть твоей.

Читать прожектор

высокий· CWE-287

Дефекты flow аутентификации

Логин, регистрация, сброс пароля — большинство угонов аккаунтов реально происходят здесь.

Читать прожектор

высокий· CWE-918

Слепой SSRF (out-of-band)

Если сервер тянет URL-ы от пользователя, пользователь может заставить его тянуть внутренние сервисы.

Читать прожектор

высокий· CWE-89

CKAN DataStore SQL Authorization Bypass

Public DataStore SQL access can turn open data APIs into private data exposure.

Читать прожектор

высокий· CWE-942

Неверная настройка CORS

Разрешающий Access-Control-Allow-Origin плюс credentials означает, что твоё API — общее API.

Читать прожектор

высокий· CWE-79

DOM-XSS через URL-фрагмент

Современные SPA читают location.hash и пишут его в DOM — пейлоады атакующего едут вместе.

Читать прожектор

высокий· CWE-434

Валидация загрузки файлов

Файлы, загруженные пользователем, — произвольные байты. Принимать их как «картинки» без проверки — звать RCE.

Читать прожектор

высокий· CWE-321

FUXA Hardcoded JWT Fallback Secret

Default token-signing secrets can turn an HMI login into a weak boundary.

Читать прожектор

высокий· CWE-74 / CWE-77

GL.iNet GL-MT3000 Firmware Advisory

A router firmware match should drive an upgrade, not a command-execution test.

Читать прожектор

высокий· CWE-770

Бомбы глубины GraphQL и обход батчинга

Гибкость GraphQL — это и его уязвимость: бомбы глубины, alias-батчинг, утечки field-suggestion.

Читать прожектор

высокий· CWE-444

HTTP Request Smuggling

Front-прокси и бэкенд расходятся в том, где заканчивается запрос — атакующий едет по шву.

Читать прожектор

высокий· CWE-639

IDOR / BOLA

Если твоё API доверяет клиенту слать правильный ID, клиент может слать любой ID.

Читать прожектор

высокий· CWE-200

IIS TRACK Method Information Disclosure

Legacy HTTP method echo behavior should be disabled before it can expose request headers.

Читать прожектор

высокий· CWE-264

Liferay Portal Template RCE Advisory

Legacy Liferay Portal version evidence should trigger patch verification.

Читать прожектор

высокий· CWE-77

Инъекция промпта в LLM

Если твоя AI-фича доверяет пользовательскому вводу как инструкции, пользователь может переписать системный промпт.

Читать прожектор

высокий· CWE-943

Инъекция операторов NoSQL

MongoDB-операторы в JSON, который контролирует пользователь, превращают запрос в wildcard.

Читать прожектор

высокий· CWE-79

Отражённый межсайтовый скриптинг (XSS)

Тихий перехват: один не очищенный параметр выполняет код атакующего в браузерах твоих пользователей.

Читать прожектор

высокий· CWE-307

Rockwell MicroLogix 1100 Authentication Advisory

Firmware evidence should drive an update and exposure review, not password-guessing tests.

Читать прожектор

высокий· CWE-611

XML External Entity (XXE)

Если XML-парсер резолвит внешние сущности, сервер читает файлы для атакующего.

Читать прожектор

высокий· CWE-200

ZoneMinder Directory Listing Exposure

A camera management UI should not publish its web root index.

Читать прожектор

средний· CWE-203

Перечисление аккаунтов

Если логин отвечает по-разному, когда email есть и когда его нет, атакующие могут собрать список клиентов.

Читать прожектор

средний

Checking gemini-mcp-tool for CVE-2026-0755

Checking gemini-mcp-tool for CVE-2026-0755

Читать прожектор

средний

Checking Label Studio upload-example XSS exposure

Checking Label Studio upload-example XSS exposure

Читать прожектор

средний

Checking Langflow version exposure for CVE-2026-33017

Checking Langflow version exposure for CVE-2026-33017

Читать прожектор

средний

Checking PowerLogic EGX exposure for CVE-2021-22765/CVE-2021-22767/CVE-2021-22768

Checking PowerLogic EGX exposure for CVE-2021-22765/CVE-2021-22767/CVE-2021-22768

Читать прожектор

средний

Checking TLS endpoints for RC4 support

Checking TLS endpoints for RC4 support

Читать прожектор

средний

Checking TLS endpoints for Sweet32 DES/3DES support

Checking TLS endpoints for Sweet32 DES/3DES support

Читать прожектор

средний

Confirming Glances REST API unauthenticated exposure

Confirming Glances REST API unauthenticated exposure

Читать прожектор

средний

Confirming Next.js middleware bypass exposure

Confirming Next.js middleware bypass exposure

Читать прожектор

средний

Confirming SillyTavern SearXNG external-fetch SSRF exposure

Confirming SillyTavern SearXNG external-fetch SSRF exposure

Читать прожектор

средний

Confirming TMT Lockcell login SQL injection exposure

Confirming TMT Lockcell login SQL injection exposure

Читать прожектор

средний· CWE-113

CRLF / Response Splitting

Если пользовательский ввод попадает в заголовок ответа, переводы строк позволяют атакующему писать свои заголовки.

Читать прожектор

средний· CWE-352

Защита от CSRF

Если эндпоинты, меняющие состояние, не требуют CSRF-токен, сторонние сайты могут действовать как твои пользователи.

Читать прожектор

средний· CWE-307

Отсутствие rate-limit

Без rate-limit на auth-эндпоинтах атакующий может делать credential stuffing на скорости канала.

Читать прожектор

средний· CWE-693

Next.js Header Configuration Drift

Headers set on `/` do not always protect nested routes.

Читать прожектор

средний· CWE-601

Open Redirect

Твой /redirect?url=…, не валидирующий целевой адрес — готовый фишинг-кит.

Читать прожектор

средний· CWE-79

SPIP valider_xml XSS Exposure

A legacy SPIP utility page should not reflect URL input into HTML.

Читать прожектор

07 / 07

Исходный код

критический· CWE-1321

deephas Prototype-Pollution Advisory

A vulnerable deephas dependency can put deep-path object handling on a prototype-pollution path.

Читать прожектор

критический· CWE-89

Ghost Content API SQL Injection Advisory

A vulnerable Ghost dependency can put public content APIs on the database boundary.

Читать прожектор

критический· CWE-78

LibreNMS Command Injection Advisory

A vulnerable monitoring stack can become an execution path inside the network.

Читать прожектор

критический· CWE-89

LiteLLM SQL Injection Advisory

A vulnerable LiteLLM Proxy version can turn API-key verification into database exposure.

Читать прожектор

критический· CWE-94

NLTK Zip Slip Code Execution Advisory

A vulnerable NLTK downloader can turn compromised package archives into filesystem writes and code-execution risk.

Читать прожектор

критический· CWE-78

openDCIM Command Injection Source Advisory

A database-controlled Graphviz path should not become a shell command.

Читать прожектор

критический· CWE-506

TanStack ArkType Adapter Malware Advisory

Known malicious npm package versions can put CI and developer secrets at install-time risk.

Читать прожектор

критический· CWE-913

vm2 Sandbox Breakout Advisory

A vulnerable JavaScript sandbox dependency can put untrusted-code boundaries at risk.

Читать прожектор

высокий· CWE-404

Apache Tomcat Coyote Resource-Shutdown Advisory

An affected Tomcat HTTP/2 runtime can turn reset behavior into resource exhaustion.

Читать прожектор

высокий· CWE-311

Apache Tomcat EncryptInterceptor Advisory

Exact affected Tomcat releases need an upgrade before cluster encryption assumptions are trusted.

Читать прожектор

высокий· CWE-200

Apache Tomcat h2c Request Mix-Up Advisory

Affected Tomcat h2c handling can put request data on the wrong response path.

Читать прожектор

высокий· CWE-502

Apache Tomcat Session-Persistence Advisory

Affected Tomcat runtimes become riskier when FileStore session persistence is enabled.

Читать прожектор

высокий· CWE-798

Committed AI-Generated Secrets

AI snippets should not ship provider keys into git.

Читать прожектор

высокий· CWE-506

Compromised codfish GitHub Action

Release workflows should not keep pointing at compromised Action refs.

Читать прожектор

высокий· CWE-77

electerm Install-Script Command Injection Advisory

A vulnerable terminal-client dependency can put build or developer hosts at install-time risk.

Читать прожектор

высокий· CWE-78 / CWE-306

electerm Unauthorized Command Execution Advisory

A stale electerm package can matter when the vulnerable service is packaged and running.

Читать прожектор

высокий· CWE-22

Gogs Directory Traversal Dependency Advisory

An affected Gogs runtime can put file-upload path handling on a traversal boundary.

Читать прожектор

высокий· CWE-22

Gradio Windows Python Path Traversal Advisory

A vulnerable Gradio dependency becomes a stronger signal when repo config points to Windows with Python 3.13+.

Читать прожектор

высокий· CWE-120

Mbed TLS Buffer-Overflow Advisory

Affected Mbed TLS 3.x source evidence deserves an upgrade, not exploit reproduction.

Читать прожектор

высокий· CWE-415

Mbed TLS Double-Free Advisory

Legacy Mbed TLS version evidence deserves branch-aware remediation.

Читать прожектор

высокий· CWE-457

Microsoft ATL MS09-035 Source Advisory

Legacy ATL build metadata deserves rebuild proof, not exploit reproduction.

Читать прожектор

высокий· CWE-611

OpenCms XXE Information-Disclosure Advisory

A vulnerable OpenCms dependency can put XML-processing routes on a file-read boundary.

Читать прожектор

высокий· CWE-787

OpenSSL CMS Message-Parsing Advisory

Affected OpenSSL branch evidence deserves a branch-aware runtime upgrade.

Читать прожектор

высокий· CWE-754

PDF.js JavaScript Execution Advisory

A vulnerable PDF viewer can turn a malicious document into script execution.

Читать прожектор

высокий· CWE-755

PickleScan ZIP CRC Bypass Advisory

A vulnerable PickleScan dependency can miss malicious model archives when scans fail open.

Читать прожектор

высокий· CWE-78

pyLoad /flashgot RCE Advisory

A vulnerable pyLoad dependency is patch-triage evidence, not proof of live RCE.

Читать прожектор

высокий· CWE-94

Рискованные паттерны исходного кода

eval(), dangerouslySetInnerHTML, захардкоженные секреты — паттерны, которые SAST ловит уже 25 лет.

Читать прожектор

высокий· CWE-22

SaltStack Salt Directory Traversal Advisory

A vulnerable Salt package can weaken Salt master authentication boundaries.

Читать прожектор

высокий· CWE-78

SAP Cloud SDK for AI Python Advisory

A vulnerable SAP Python SDK dependency is patch-triage evidence, not proof of live command execution.

Читать прожектор

высокий· CWE-770

Spring Data Commons Resource-Exhaustion Advisory

Affected Spring Data Commons dependencies can put property-path parsing on a DoS path.

Читать прожектор

высокий· CWE-284

Supabase RLS in Migrations

A public table without RLS is a future data leak.

Читать прожектор

высокий· CWE-91

veraPDF XSLT Injection Dependency Advisory

Affected veraPDF policy-file processing can put XSLT execution boundaries at risk.

Читать прожектор

высокий· CWE-1395

Уязвимые зависимости

Твой package-lock.json содержит тысячи пакетов. У некоторых есть известные CVE.

Читать прожектор

высокий· CWE-345

Проверка подписи webhook

Если обработчик webhook не проверяет подпись, кто угодно может подделать события.

Читать прожектор

высокий· CWE-476

ws Excessive-Header DoS Advisory

Affected ws server runtimes can crash when upgrade requests carry too many headers.

Читать прожектор

средний· CWE-693

AI-Generated Code Guardrails

Fast AI-assisted changes need repo-level security rails.

Читать прожектор

средний

Checking @andrei-tatar/nora-firebase-common for CVE-2024-30564

Checking @andrei-tatar/nora-firebase-common for CVE-2024-30564

Читать прожектор

средний

Checking Apache ActiveMQ Artemis for CVE-2026-27446

Checking Apache ActiveMQ Artemis for CVE-2026-27446

Читать прожектор

средний

Checking Apache Spark for CVE-2022-33891

Checking Apache Spark for CVE-2022-33891

Читать прожектор

средний

Checking Cargo files for the malicious onering crate

Checking Cargo files for the malicious onering crate

Читать прожектор

средний

Checking http4k-format-xml for CVE-2024-55875

Checking http4k-format-xml for CVE-2024-55875

Читать прожектор

средний

Checking kill-port-process for CVE-2019-15609

Checking kill-port-process for CVE-2019-15609

Читать прожектор

средний

Checking Log4j 1.2 JMSAppender for CVE-2021-4104

Checking Log4j 1.2 JMSAppender for CVE-2021-4104

Читать прожектор

средний

Checking Note Mark backend for CVE-2026-44522

Checking Note Mark backend for CVE-2026-44522

Читать прожектор

средний

Checking npm package versions and binding.gyp for the Phantom Gyp worm

Checking npm package versions and binding.gyp for the Phantom Gyp worm

Читать прожектор

средний

Checking OpenSSL PowerPC builds for CVE-2023-6129

Checking OpenSSL PowerPC builds for CVE-2023-6129

Читать прожектор

средний

Checking Perl GD for CVE-2026-11526

Checking Perl GD for CVE-2026-11526

Читать прожектор

средний

Checking Red Hat npm package versions for the worm campaign

Checking Red Hat npm package versions for the worm campaign

Читать прожектор

средний

Checking WebdriverIO BrowserStack service for CVE-2026-25244

Checking WebdriverIO BrowserStack service for CVE-2026-25244

Читать прожектор

средний· CWE-283

Kubernetes Service ExternalIPs Advisory

ExternalIPs in Service manifests deserve RBAC and admission-policy review.

Читать прожектор

средний· CWE-295

Mbed TLS Certificate-Validation Advisory

Affected Mbed TLS 3.x evidence deserves upgrade and client-auth review.

Читать прожектор

средний· CWE-1325

OpenSSL TLSv1.3 Session Memory-Growth Advisory

A vulnerable OpenSSL runtime plus no-ticket TLSv1.3 session handling can create DoS risk.

Читать прожектор

средний· CWE-400

Oracle Java SE / GraalVM Runtime Advisory

Affected Oracle runtime metadata deserves an update, not DoS reproduction.

Читать прожектор

средний· CWE-1357

Безопасность гигиены репозитория

Защита веток, пиннинг actions, гигиена секретов — то, как ведётся репозиторий, важнее самого кода.

Читать прожектор

средний

Reviewing repo code against web app risk patterns

Reviewing repo code against web app risk patterns

Читать прожектор

Мы постоянно исследуем свежие проверки уязвимостей и способы исправления, чтобы ты мог выпускать продукт спокойнее.

Запустить скан
Каталог уязвимостей — FixVibe · FixVibe