// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
भूत सामग्री API (CVE-2026-26980) मध्ये SQL इंजेक्शन
भूतसंस्करणं 3.24.0 तः 6.19.0 पर्यन्तं सामग्री API इत्यस्मिन् एकं महत्त्वपूर्णं SQL इन्जेक्शन-असुरक्षां भवति । एतेन अनप्रमाणित-आक्रमणकारिणः मनमाना SQL-आदेशान् निष्पादयितुं शक्नुवन्ति, येन सम्भाव्यतया आँकडा-प्रक्षेपणं वा अनधिकृत-संशोधनं वा भवति ।
सर्वं research
34 articles
टेम्पलेटटैग्स् (CVE-2016-7998) मार्गेण SPIP मध्ये दूरस्थसङ्केतनिष्पादनम्
SPIP संस्करणं 3.1.2 तथा पूर्वं टेम्पलेट् रचयितायां एकं दुर्बलता अस्ति । प्रमाणीकृताः आक्रमणकारिणः सर्वरे मनमाना PHP कोडं निष्पादयितुं निर्मितैः INCLUDE अथवा INCLURE टैग् इत्यनेन सह HTML सञ्चिकाः अपलोड् कर्तुं शक्नुवन्ति ।
ZoneMinder अपाचे विन्यास सूचना प्रकटीकरण (CVE-2016-10140)
ZoneMinder संस्करणं 1.29 तथा 1.30 बण्डल् कृते Apache HTTP Server दुर्विन्यासेन प्रभाविताः सन्ति । एषः दोषः दूरस्थान्, अप्रमाणीकृतान् आक्रमणकारिणः जालमूलनिर्देशिकां ब्राउज् कर्तुं शक्नुवन्ति, येन सम्भाव्यतया संवेदनशीलसूचनाप्रकटीकरणं प्रमाणीकरणं च बाईपासं भवति
Next.js next.config.js इत्यस्मिन् सुरक्षाशीर्षकस्य दुर्विन्यासः
Next.js अनुप्रयोगाः शीर्षकप्रबन्धनार्थं next.config.js इत्यस्य उपयोगं कुर्वन्ति यदि मार्ग-मेलन-प्रतिमानाः अशुद्धाः सन्ति तर्हि सुरक्षा-अन्तराणां कृते प्रवणाः भवन्ति । अस्मिन् शोधकार्य्ये वाइल्डकार्ड् तथा रेगेक्स् दुर्विन्यासः संवेदनशीलमार्गेषु सुरक्षाशीर्षकाणां गमनं कथं भवति तथा च विन्यासः कथं कठिनः भवति इति अन्वेषणं करोति ।
अपर्याप्तं सुरक्षाशीर्षकविन्यासः
जाल-अनुप्रयोगाः प्रायः आवश्यकसुरक्षाशीर्षकाणि कार्यान्वितुं असफलाः भवन्ति, येन उपयोक्तारः क्रॉस्-साइट् स्क्रिप्टिङ्ग् (XSS), क्लिक्जैकिंग्, डाटा इन्जेक्शन् च इत्येतयोः सम्मुखीभवन्ति स्थापितानां जालसुरक्षामार्गदर्शिकानां अनुसरणं कृत्वा MDN वेधशाला इत्यादीनां लेखापरीक्षासाधनानाम् उपयोगेन विकासकाः सामान्यब्राउजर-आधारित-आक्रमणानां विरुद्धं स्व-अनुप्रयोगान् महत्त्वपूर्णतया कठोरं कर्तुं शक्नुवन्ति
OWASP द्रुतजालविकासे शीर्ष १० जोखिमानां न्यूनीकरणम्
इन्डी हैकर्-लघुदलानि च प्रायः शीघ्रं शिपिङ्गं कुर्वन् अद्वितीयसुरक्षाचुनौत्यस्य सामनां कुर्वन्ति, विशेषतः AI-जनितसङ्केतेन सह । इदं शोधं CWE Top 25 तथा OWASP श्रेणीभ्यः आवर्तमानजोखिमान् प्रकाशयति, यत्र भग्नप्रवेशनियन्त्रणं असुरक्षितविन्यासः च सन्ति, स्वचालितसुरक्षापरीक्षाणां आधारं प्रदाति
AI-जनित-अनुप्रयोगेषु असुरक्षिताः HTTP-शीर्षकविन्यासाः
AI सहायकैः उत्पन्नेषु अनुप्रयोगेषु प्रायः आवश्यक HTTP सुरक्षाशीर्षकाणां अभावः भवति, आधुनिकसुरक्षामानकानां पूर्तये असफलः भवति । एतेन लोपः जाल-अनुप्रयोगान् सामान्यग्राहक-पक्षीय-आक्रमणानां कृते दुर्बलं त्यजति । Mozilla HTTP Observatory इत्यादीनां बेन्चमार्कानाम् उपयोगेन विकासकाः स्वस्य अनुप्रयोगस्य सुरक्षामुद्रां सुधारयितुम् CSP तथा HSTS इत्यादीनां अनुपलब्धसंरक्षणानाम् पहिचानं कर्तुं शक्नुवन्ति
क्रॉस्-साइट स्क्रिप्टिङ्ग् (XSS) दुर्बलतायाः अन्वेषणं निवारणं च
क्रॉस्-साइट् स्क्रिप्टिङ्ग् (XSS) तदा भवति यदा कश्चन अनुप्रयोगः समुचितसत्यापनं वा एन्कोडिंगं वा विना जालपुटे अविश्वसनीयदत्तांशं समावेशयति । एतेन आक्रमणकारिणः पीडितस्य ब्राउजरे दुर्भावनापूर्णानि स्क्रिप्ट्-निष्पादयितुं शक्नुवन्ति, येन सत्र-अपहरणं, अनधिकृत-क्रियाः, संवेदनशील-दत्तांश-प्रकाशनं च भवति ।
LiteLLM प्रॉक्सी SQL इंजेक्शन (CVE-2026-42208)
LiteLLM इत्यस्य प्रॉक्सी घटके एकः महत्त्वपूर्णः SQL इन्जेक्शन-असुरक्षा (CVE-2026-42208) आक्रमणकारिणः प्रमाणीकरणं बाईपासं कर्तुं वा API कुञ्जी-सत्यापन-प्रक्रियायाः शोषणं कृत्वा संवेदनशील-दत्तांशकोश-सूचनाः प्राप्तुं वा अनुमतिं ददाति
Vibe कोडिंग् इत्यस्य सुरक्षाजोखिमाः: AI-जनित कोडस्य लेखापरीक्षा
'वाइब कोडिंग्' इत्यस्य उदयः-मुख्यतया द्रुतगतिना AI प्रॉम्प्टिंग् इत्यस्य माध्यमेन अनुप्रयोगानाम् निर्माणं-हार्डकोडेड् प्रमाणपत्राणि असुरक्षितानि कोड-प्रतिमानाः च इत्यादीनां जोखिमानां परिचयं करोति यतो हि AI मॉडल् दुर्बलतायुक्तानि प्रशिक्षणदत्तांशस्य आधारेण कोडं सुचयितुं शक्नुवन्ति, तेषां उत्पादनं अविश्वसनीयरूपेण व्यवह्रियते, आँकडानां प्रकाशनं निवारयितुं स्वचालितस्कैनिङ्गसाधनानाम् उपयोगेन लेखापरीक्षणं च करणीयम्
JWT सुरक्षा: असुरक्षितटोकनस्य जोखिमाः तथा च लापता दावा प्रमाणीकरणम्
JSON Web Tokens (JWTs) दावानां स्थानान्तरणार्थं मानकं प्रदाति, परन्तु सुरक्षा कठोरसत्यापनस्य उपरि निर्भरं भवति । हस्ताक्षराणि, अवधिसमाप्तिसमयाः, अभिप्रेतदर्शकान् वा सत्यापयितुं असफलता आक्रमणकारिणः प्रमाणीकरणं बाईपासं कर्तुं वा टोकनं पुनः प्ले कर्तुं वा शक्नुवन्ति ।
Vercel परिनियोजनानि सुरक्षितं करणं: संरक्षणं तथा शीर्षकं सर्वोत्तमप्रथाः
इदं शोधं Vercel-आयोजित-अनुप्रयोगानाम् सुरक्षा-विन्यासानां अन्वेषणं करोति, यत्र परिनियोजन-संरक्षणं कस्टम् HTTP-शीर्षकं च केन्द्रितम् अस्ति । एते विशेषताः पूर्वावलोकनवातावरणानां रक्षणं कथं कुर्वन्ति तथा च अनधिकृतप्रवेशं सामान्यजालप्रहारं च निवारयितुं ब्राउजर्-पक्षीयसुरक्षानीतयः प्रवर्तयन्ति इति व्याख्यायते ।
LibreNMS (CVE-2024-51092) इत्यस्मिन् महत्त्वपूर्णं OS आदेशं इन्जेक्शनम्
24.9.1 पर्यन्तं LibreNMS संस्करणेषु महत्त्वपूर्णं OS आदेश-इञ्जेक्शन-असुरक्षा (CVE-2024-51092) भवति । प्रमाणीकृताः आक्रमणकारिणः होस्ट्-प्रणाल्यां मनमाना-आदेशान् निष्पादयितुं शक्नुवन्ति, येन सम्भाव्यतया निगरानीय-अन्तर्गत-संरचनायाः पूर्ण-समझौता भवति ।
प्रॉक्सी API कुंजी सत्यापन (CVE-2026-42208) मध्ये LiteLLM SQL इंजेक्शन
LiteLLM संस्करणं 1.81.16 तः 1.83.6 पर्यन्तं Proxy API कुञ्जीसत्यापनतर्कस्य एकं महत्त्वपूर्णं SQL इन्जेक्शन-असुरक्षां भवति । एषः दोषः अप्रमाणित-आक्रमणकारिणः प्रमाणीकरण-नियन्त्रणं त्यक्त्वा अथवा अन्तर्निहित-दत्तांशकोशं प्राप्तुं शक्नुवन्ति । समस्या 1.83.7 संस्करणे निराकृता अस्ति ।
Firebase सुरक्षानियमाः: अनधिकृतदत्तांशप्रकाशनस्य निवारणम्
Firebase सुरक्षानियमाः Firestore तथा Cloud Storage इत्यस्य उपयोगेन सर्वररहितानाम् अनुप्रयोगानाम् प्राथमिकरक्षाः सन्ति । यदा एते नियमाः अत्यन्तं अनुमताः भवन्ति, यथा उत्पादनस्य वैश्विकपठनलेखनप्रवेशस्य अनुमतिः, आक्रमणकारिणः संवेदनशीलदत्तांशं चोरयितुं वा विलोपयितुं वा अभिप्रेतं अनुप्रयोगतर्कं बाईपासं कर्तुं शक्नुवन्ति अस्मिन् शोधकार्य्ये सामान्यदोषविन्यासाः, 'परीक्षणविधिः' पूर्वनिर्धारितानां जोखिमाः, परिचय-आधारित-प्रवेश-नियन्त्रणं कथं कार्यान्वितुं च अन्वेषितम् अस्ति ।
CSRF संरक्षणम् : अनधिकृतराज्यपरिवर्तनानां विरुद्धं रक्षणम्
क्रॉस्-साइट् अनुरोध-जालसाजी (CSRF) जाल-अनुप्रयोगानाम् कृते महत्त्वपूर्णं खतरा वर्तते । एतत् शोधं Django इत्यादीनि आधुनिकरूपरेखाः कथं रक्षणं कार्यान्वन्ति तथा च SameSite इत्यादीनि ब्राउजर्-स्तरीयाः विशेषताः अनधिकृत-अनुरोधानाम् विरुद्धं रक्षा-गहनं कथं प्रदास्यन्ति इति अन्वेषणं करोति
API सुरक्षापरीक्षासूची: लाइव् गमनात् पूर्वं जाँचनीयाः १२ वस्तूनि
एपिआइ आधुनिकजाल-अनुप्रयोगानाम् मेरुदण्डः अस्ति किन्तु प्रायः पारम्परिक-अग्रभागस्य सुरक्षा-कठोरतायाः अभावः भवति । अयं शोधलेखः एपिआइ-सुरक्षितीकरणाय एकां आवश्यकं जाँचसूचीं रूपरेखां ददाति, यत्र आँकडा-उल्लङ्घनं सेवा-दुरुपयोगं च निवारयितुं अभिगम-नियन्त्रणं, दर-सीमितं, पार-उत्पत्ति-संसाधन-साझेदारी (CORS) च केन्द्रीकृता अस्ति
API कुंजी लीकेज: आधुनिक वेब एप्स् मध्ये जोखिमाः सुधारः च
अग्रभागसङ्केते अथवा भण्डार-इतिहासस्य हार्ड-कोडेड् रहस्याः आक्रमणकारिणः सेवानां अनुकरणं कर्तुं, निजीदत्तांशं प्राप्तुं, व्ययस्य च अनुमतिं ददति । अस्मिन् लेखे गुप्तलीकेजस्य जोखिमाः, सफाई-निवारणाय च आवश्यकाः पदानि च समाविष्टानि सन्ति ।
CORS दुर्विन्यासः: अत्यधिकं अनुमतनीतयः जोखिमाः
पार-उत्पत्ति-संसाधन-साझेदारी (CORS) एकं ब्राउजर्-तन्त्रम् अस्ति यत् समान-उत्पत्तिनीतिं (SOP) शिथिलं कर्तुं विनिर्मितम् अस्ति । आधुनिकजाल-अनुप्रयोगानाम् कृते आवश्यकं भवति चेदपि, अनुचित-कार्यन्वयनं-यथा अनुरोधकस्य उत्पत्तिशीर्षकस्य प्रतिध्वनिः अथवा 'शून्य'-मूलस्य श्वेतसूची-दुर्भावनापूर्ण-स्थलानां निज-उपयोक्तृदत्तांशं निष्कासयितुं अनुमतिं दातुं शक्नोति
MVP सुरक्षितं करणं: AI-जनित SaaS Apps मध्ये Data Leaks इत्यस्य निवारणम्
द्रुतगत्या विकसिताः SaaS अनुप्रयोगाः प्रायः महत्त्वपूर्णसुरक्षानिरीक्षणेन पीडिताः भवन्ति । एतत् शोधं अन्वेषयति यत् कथं लीक् कृतानि रहस्यानि भग्नाः अभिगमनियन्त्रणानि च, यथा अनुपलब्धा पङ्क्तिस्तरसुरक्षा (RLS), आधुनिकजाल-ढेरेषु उच्च-प्रभाव-दुर्बलतां जनयन्ति