// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
අවතාර අන්තර්ගතයේ SQL එන්නත් API (CVE-2026-26980)
Ghost අනුවාද 3.24.0 සිට 6.19.0 දක්වා අන්තර්ගත API හි තීරණාත්මක SQL එන්නත් අවදානමක් අඩංගු වේ. මෙය අනවසර ප්රහාරකයන්ට අත්තනෝමතික SQL විධාන ක්රියාත්මක කිරීමට ඉඩ සලසයි, එය දත්ත උද්ධෘත කිරීම හෝ අනවසර වෙනස් කිරීම් වලට හේතු විය හැක.
සියලු research
34 articles
සැකිලි ටැග් හරහා SPIP හි දුරස්ථ කේත ක්රියාත්මක කිරීම (CVE-2016-7998)
SPIP අනුවාද 3.1.2 සහ ඊට පෙර සැකිලි නිර්මාපකයේ අවදානමක් අඩංගු වේ. සත්යාපිත ප්රහාරකයින්ට සේවාදායකයේ අත්තනෝමතික PHP කේතය ක්රියාත්මක කිරීම සඳහා නිර්මාණය කරන ලද INCLUDE හෝ INCLURE ටැග් සහිත HTML ගොනු උඩුගත කළ හැක.
ZoneMinder Apache වින්යාස තොරතුරු අනාවරණය (CVE-2016-10140)
ZoneMinder අනුවාද 1.29 සහ 1.30 බණ්ඩල් කරන ලද Apache HTTP සේවාදායකයේ වැරදි වින්යාසයකින් බලපායි. මෙම දෝෂය දුරස්ථ, සත්යාපනය නොකළ ප්රහාරකයන්ට වෙබ් මූල නාමාවලිය පිරික්සීමට ඉඩ සලසයි, එය සංවේදී තොරතුරු හෙළිදරව් කිරීම සහ සත්යාපනය මඟ හැරීමට හේතු විය හැක.
Next.config.js හි Next.js ආරක්ෂක ශීර්ෂ වැරදි වින්යාසය
ශීර්ෂ කළමනාකරණය සඳහා next.config.js භාවිතා කරන Next.js යෙදුම් මාර්ග-ගැළපෙන රටා අපැහැදිලි නම් ආරක්ෂක හිඩැස්වලට ගොදුරු වේ. මෙම පර්යේෂණය මගින් Wildcard සහ regex වැරදි වින්යාස කිරීම් සංවේදී මාර්ගවල ආරක්ෂක ශීර්ෂ අතුරුදහන් වීමට හේතු වන ආකාරය සහ වින්යාසය දැඩි කරන්නේ කෙසේද යන්න ගවේෂණය කරයි.
ප්රමාණවත් නොවන ආරක්ෂක ශීර්ෂ වින්යාසය
වෙබ් යෙදුම් බොහෝ විට අත්යවශ්ය ආරක්ෂක ශීර්ෂ ක්රියාත්මක කිරීමට අසමත් වන අතර, පරිශීලකයන් හරස්-අඩවි ස්ක්රිප්ටින් (XSS), ක්ලික් ජැක් කිරීම සහ දත්ත එන්නත් කිරීමට නිරාවරණය වේ. ස්ථාපිත වෙබ් ආරක්ෂණ මාර්ගෝපදේශ අනුගමනය කිරීමෙන් සහ MDN නිරීක්ෂණාගාරය වැනි විගණන මෙවලම් භාවිතා කිරීමෙන්, සංවර්ධකයින්ට පොදු බ්රවුසරය මත පදනම් වූ ප්රහාරවලට එරෙහිව ඔවුන්ගේ යෙදුම් සැලකිය යුතු ලෙස දැඩි කළ හැකිය.
OWASP වේගවත් වෙබ් සංවර්ධනයේ ඉහළම අවදානම් 10 අවම කිරීම
විශේෂයෙන්ම AI-උත්පාදිත කේතය සමඟින් වේගයෙන් නැව්ගත කිරීමේදී Indie හැකර්වරුන් සහ කුඩා කණ්ඩායම් බොහෝ විට අද්විතීය ආරක්ෂක අභියෝගවලට මුහුණ දෙයි. මෙම පර්යේෂණය CWE Top 25 සහ OWASP කාණ්ඩවලින් පුනරාවර්තන අවදානම් ඉස්මතු කරයි, බිඳුණු ප්රවේශ පාලනය සහ අනාරක්ෂිත වින්යාස කිරීම් ඇතුළුව, ස්වයංක්රීය ආරක්ෂක පරීක්ෂාවන් සඳහා පදනමක් සපයයි.
AI-උත්පාදිත යෙදුම්වල අනාරක්ෂිත HTTP ශීර්ෂ වින්යාස
AI සහායකයින් විසින් ජනනය කරන ලද යෙදුම්වල අත්යවශ්ය HTTP ආරක්ෂක ශීර්ෂයන් නොමැති අතර, නවීන ආරක්ෂක ප්රමිතීන් සපුරාලීමට අපොහොසත් වේ. මෙම මග හැරීම පොදු සේවාදායක පාර්ශ්ව ප්රහාරයන්ට ගොදුරු විය හැකි වෙබ් යෙදුම් තබයි. Mozilla HTTP නිරීක්ෂණාගාරය වැනි මිණුම් සලකුණු භාවිතා කිරීමෙන්, සංවර්ධකයින්ට ඔවුන්ගේ යෙදුමේ ආරක්ෂක ඉරියව්ව වැඩි දියුණු කිරීම සඳහා CSP සහ HSTS වැනි නැතිවූ ආරක්ෂණ හඳුනා ගත හැක.
Cross-Site Scripting (XSS) දුර්වලතා හඳුනා ගැනීම සහ වැළැක්වීම
Cross-Site Scripting (XSS) නිසි වලංගුකරණයකින් හෝ කේතනයකින් තොරව වෙබ් පිටුවක විශ්වාස නොකළ දත්ත ඇතුළත් කළ විට සිදුවේ. This allows attackers to execute malicious scripts in the victim's browser, leading to session hijacking, unauthorized actions, and sensitive data exposure.
LiteLLM Proxy SQL එන්නත් (CVE-2026-42208)
LiteLLM හි ප්රොක්සි සංරචකයේ ඇති තීරණාත්මක SQL එන්නත් අවදානමක් (CVE-2026-42208) ප්රහාරකයන්ට API යතුරු සත්යාපන ක්රියාවලිය උපයෝගී කරගනිමින් සත්යාපනය මඟ හැරීමට හෝ සංවේදී දත්ත සමුදා තොරතුරු වෙත ප්රවේශ වීමට ඉඩ සලසයි.
Vibe කේතීකරණයේ ආරක්ෂක අවදානම්: AI-උත්පාදිත කේතය විගණනය
ප්රධාන වශයෙන් වේගවත් AI ප්රේරක හරහා යෙදුම් ගොඩනැගීමේ 'vibe coding' ඉහළ යාම දෘඪ කේත අක්තපත්ර සහ අනාරක්ෂිත කේත රටා වැනි අවදානම් හඳුන්වා දෙයි. AI ආකෘති මගින් දුර්වලතා අඩංගු පුහුණු දත්ත මත පදනම් වූ කේතයක් යෝජනා කළ හැකි බැවින්, ඒවායේ ප්රතිදානය විශ්වාස රහිත ලෙස සලකා දත්ත නිරාවරණය වැළැක්වීම සඳහා ස්වයංක්රීය ස්කෑනිං මෙවලම් භාවිතයෙන් විගණනය කළ යුතුය.
JWT ආරක්ෂාව: අනාරක්ෂිත ටෝකන වල අවදානම් සහ නැතිවූ හිමිකම් වලංගු කිරීම
JSON Web Tokens (JWTs) හිමිකම් මාරු කිරීම සඳහා ප්රමිතියක් සපයයි, නමුත් ආරක්ෂාව දැඩි වලංගුකරණය මත රඳා පවතී. අත්සන්, කල් ඉකුත්වන වේලාවන් හෝ අපේක්ෂිත ප්රේක්ෂකයින් සත්යාපනය කිරීමට අපොහොසත් වීම ප්රහාරකයන්ට සත්යාපනය මඟ හැරීමට හෝ ටෝකන නැවත ධාවනය කිරීමට ඉඩ සලසයි.
Vercel යෙදවීම් සුරක්ෂිත කිරීම: ආරක්ෂාව සහ ශීර්ෂය හොඳම භාවිතයන්
මෙම පර්යේෂණය යෙදවුම් ආරක්ෂණය සහ අභිරුචි HTTP ශීර්ෂයන් කෙරෙහි අවධානය යොමු කරමින් Vercel-සත්කාරක යෙදුම් සඳහා ආරක්ෂක වින්යාසයන් ගවේෂණය කරයි. මෙම විශේෂාංග පෙරදසුන් පරිසරයන් ආරක්ෂා කරන ආකාරය සහ අනවසර ප්රවේශ සහ පොදු වෙබ් ප්රහාර වැලැක්වීමට බ්රවුසරයේ ආරක්ෂක ප්රතිපත්ති බලාත්මක කරන ආකාරය එය පැහැදිලි කරයි.
LibreNMS හි විවේචනාත්මක OS විධාන එන්නත් (CVE-2024-51092)
24.9.1 දක්වා LibreNMS අනුවාදවල තීරණාත්මක OS විධාන එන්නත් අවදානමක් (CVE-2024-51092) අඩංගු වේ. සත්යාපිත ප්රහාරකයන්ට ධාරක පද්ධතිය මත අත්තනෝමතික විධාන ක්රියාත්මක කළ හැකි අතර, අධීක්ෂණ යටිතල ව්යුහයේ සම්පූර්ණ සම්මුතියකට තුඩු දිය හැකිය.
ප්රොක්සි API යතුරු සත්යාපනය තුළ LiteLLM SQL එන්නත් කිරීම (CVE-2026-42208)
LiteLLM අනුවාද 1.81.16 සිට 1.83.6 දක්වා ප්රොක්සි API යතුරු සත්යාපන තර්කය තුළ තීරණාත්මක SQL එන්නත් කිරීමේ අවදානමක් අඩංගු වේ. මෙම දෝෂය මඟින් සත්යාපනය නොකළ ප්රහාරකයන්ට සත්යාපන පාලන මඟ හැරීමට හෝ යටින් පවතින දත්ත ගබඩාවට ප්රවේශ වීමට ඉඩ සලසයි. ගැටළුව 1.83.7 අනුවාදයෙන් විසඳා ඇත.
Firebase ආරක්ෂක නීති: අනවසර දත්ත නිරාවරණය වැළැක්වීම
Firebase ආරක්ෂක රීති යනු Firestore සහ Cloud Storage භාවිතා කරන සේවාදායක රහිත යෙදුම් සඳහා වන මූලික ආරක්ෂාවයි. නිෂ්පාදනයේදී ගෝලීය කියවීමට හෝ ලිවීමට ප්රවේශයට ඉඩ දීම වැනි මෙම නීති ඉතා අවසර සහිත වූ විට, ප්රහාරකයන්ට සංවේදී දත්ත සොරකම් කිරීමට හෝ මකා දැමීමට අපේක්ෂිත යෙදුම් තර්කය මඟ හැරිය හැක. මෙම පර්යේෂණය පොදු වැරදි වින්යාස කිරීම්, 'පරීක්ෂණ මාදිලියේ' පෙරනිමි අවදානම් සහ අනන්යතා මත පදනම් වූ ප්රවේශ පාලනය ක්රියාත්මක කරන්නේ කෙසේද යන්න ගවේෂණය කරයි.
CSRF ආරක්ෂණය: අනවසර රාජ්ය වෙනස්කම් වලට එරෙහිව ආරක්ෂා කිරීම
Cross-Site Request Forgery (CSRF) වෙබ් යෙදුම් සඳහා සැලකිය යුතු තර්ජනයක් ලෙස පවතී. මෙම පර්යේෂණය Django වැනි නවීන රාමු ආරක්ෂාව ක්රියාත්මක කරන ආකාරය සහ SameSite වැනි බ්රවුසර මට්ටමේ ගුණාංග අනවසර ඉල්ලීම්වලට එරෙහිව ගැඹුරින් ආරක්ෂාව සපයන ආකාරය ගවේෂණය කරයි.
API ආරක්ෂක පිරික්සුම් ලැයිස්තුව: සජීවී වීමට පෙර පරීක්ෂා කළ යුතු දේවල් 12
API යනු නවීන වෙබ් යෙදුම්වල කොඳු නාරටිය වන නමුත් බොහෝ විට සාම්ප්රදායික පෙරමුනු වල ආරක්ෂිත දැඩි බව නොමැත. දත්ත කඩකිරීම් සහ සේවා අපහරණය වැළැක්වීම සඳහා ප්රවේශ පාලනය, අනුපාත සීමා කිරීම සහ හරස් සම්භවය සම්පත් බෙදාගැනීම (CORS) කෙරෙහි අවධානය යොමු කරමින් API සුරක්ෂිත කිරීම සඳහා අත්යවශ්ය පිරික්සුම් ලැයිස්තුවක් මෙම පර්යේෂණ ලිපියෙන් ගෙනහැර දක්වයි.
API යතුරු කාන්දු වීම: නවීන වෙබ් යෙදුම්වල අවදානම් සහ පිළියම්
ඉදිරිපස කේතයේ හෝ ගබඩා ඉතිහාසයේ දෘඪ-කේතගත රහස් ප්රහාරකයන්ට සේවා ලෙස පෙනී සිටීමට, පුද්ගලික දත්ත වෙත ප්රවේශ වීමට සහ වියදම් දැරීමට ඉඩ සලසයි. මෙම ලිපිය රහස් කාන්දුවීම් අවදානම සහ පිරිසිදු කිරීම සහ වැළැක්වීම සඳහා අවශ්ය පියවර ආවරණය කරයි.
CORS වැරදි වින්යාසය: අධික ලෙස අවසර දෙන ප්රතිපත්තිවල අවදානම්
හරස් සම්භවය සම්පත් බෙදාගැනීම (CORS) යනු එකම ප්රභව ප්රතිපත්තිය (SOP) ලිහිල් කිරීමට නිර්මාණය කර ඇති බ්රවුසර යාන්ත්රණයකි. නවීන වෙබ් යෙදුම් සඳහා අවශ්ය වන අතර, අයථා ක්රියාත්මක කිරීම—ඉල්ලුම්කරුගේ මූලාරම්භ ශීර්ෂය ප්රතිරාවය කිරීම හෝ 'ශුන්ය' සම්භවය සුදු ලැයිස්තුගත කිරීම වැනි—ද්වේෂ සහගත වෙබ් අඩවිවලට පුද්ගලික පරිශීලක දත්ත උකහා ගැනීමට ඉඩ දිය හැක.
MVP සුරක්ෂිත කිරීම: AI-උත්පාදනය කරන ලද SaaS යෙදුම්වල දත්ත කාන්දු වීම වැළැක්වීම
ශීඝ්රයෙන් දියුණු වූ SaaS යෙදුම් බොහෝ විට තීරනාත්මක ආරක්ෂක අධීක්ෂණ වලින් පීඩා විඳිති. මෙම පර්යේෂණය මඟින් කාන්දු වූ රහස් සහ නැති වූ පේළි මට්ටමේ ආරක්ෂාව (RLS) වැනි බිඳුණු ප්රවේශ පාලනයන් නවීන වෙබ් ස්ටැක් තුළ ඉහළ බලපෑමක් ඇති කරන දුර්වලතා ඇති කරන්නේ කෙසේදැයි ගවේෂණය කරයි.