// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
Injeksion SQL në përmbajtjen fantazmë API (CVE-2026-26980)
Versionet Ghost 3.24.0 deri në 6.19.0 përmbajnë një cenueshmëri kritike të injektimit SQL në përmbajtjen API. Kjo i lejon sulmuesit e paautentikuar të ekzekutojnë komanda arbitrare SQL, duke çuar potencialisht në ekfiltrim të të dhënave ose modifikime të paautorizuara.
I gjithë kërkimi
34 articles
Ekzekutimi i kodit në distancë në SPIP nëpërmjet etiketave shabllone (CVE-2016-7998)
Versionet 3.1.2 dhe më të hershme të SPIP përmbajnë një cenueshmëri në kompozitorin e shabllonit. Sulmuesit e autentifikuar mund të ngarkojnë skedarë HTML me etiketa të krijuara INCLUDE ose INCLURE për të ekzekutuar kodin arbitrar PHP në server.
Zbulimi i informacionit të konfigurimit të ZoneMinder Apache (CVE-2016-10140)
Versionet ZoneMinder 1.29 dhe 1.30 preken nga një konfigurim i gabuar i serverit Apache HTTP. Kjo e metë lejon sulmuesit e largët dhe të paautentikuar të shfletojnë direktorinë rrënjësore të uebit, duke çuar potencialisht në zbulimin e informacionit të ndjeshëm dhe anashkalimin e vërtetimit.
Next.js konfigurim i gabuar i kokës së sigurisë në next.config.js
Aplikacionet Next.js që përdorin next.config.js për menaxhimin e kokës janë të ndjeshme ndaj boshllëqeve të sigurisë nëse modelet e përputhjes së shtigjeve janë të pasakta. Ky hulumtim eksploron se si konfigurimet e gabuara të shkronjave të egra dhe regex çojnë në mungesën e titujve të sigurisë në rrugë të ndjeshme dhe si të forcohet konfigurimi.
Konfigurim joadekuat i kokës së sigurisë
Aplikacionet e uebit shpesh dështojnë të zbatojnë titujt thelbësorë të sigurisë, duke i lënë përdoruesit të ekspozuar ndaj skriptimit në faqe (XSS), klikimeve dhe injektimit të të dhënave. Duke ndjekur udhëzimet e vendosura të sigurisë në ueb dhe duke përdorur mjete auditimi si Observatori MDN, zhvilluesit mund të forcojnë ndjeshëm aplikacionet e tyre kundër sulmeve të zakonshme të bazuara në shfletues.
Zbutja e OWASP 10 rreziqet kryesore në zhvillimin e shpejtë të ueb-it
Hakerat indie dhe ekipet e vogla shpesh përballen me sfida unike të sigurisë kur dërgojnë shpejt, veçanërisht me kodin e krijuar nga AI. Ky hulumtim nxjerr në pah rreziqet e përsëritura nga kategoritë kryesore CWE 25 dhe OWASP, duke përfshirë kontrollin e prishur të aksesit dhe konfigurimet e pasigurta, duke ofruar një bazë për kontrolle të automatizuara të sigurisë.
Konfigurime të pasigurta të kokës HTTP në aplikacionet e krijuara nga AI
Aplikacionet e gjeneruara nga asistentët AI shpesh u mungojnë titujt thelbësorë të sigurisë HTTP, duke mos përmbushur standardet moderne të sigurisë. Ky lëshim i lë aplikacionet në internet të prekshme ndaj sulmeve të zakonshme nga ana e klientit. Duke përdorur standarde si Observatori HTTP Mozilla, zhvilluesit mund të identifikojnë mbrojtjet që mungojnë si CSP dhe HSTS për të përmirësuar pozicionin e sigurisë së aplikacionit të tyre.
Zbulimi dhe parandalimi i dobësive të skriptimit ndër-site (XSS)
Skriptimi ndër-site (XSS) ndodh kur një aplikacion përfshin të dhëna të pabesueshme në një faqe ueb pa vërtetimin ose kodimin e duhur. Kjo i lejon sulmuesit të ekzekutojnë skriptet me qëllim të keq në shfletuesin e viktimës, duke çuar në rrëmbim të sesioneve, veprime të paautorizuara dhe ekspozim të të dhënave të ndjeshme.
LiteLLM Proxy SQL Injection (CVE-2026-42208)
Një cenueshmëri kritike e injektimit SQL (CVE-2026-42208) në komponentin proxy të LiteLLM lejon sulmuesit të anashkalojnë vërtetimin ose të kenë akses në informacione të ndjeshme të bazës së të dhënave duke shfrytëzuar procesin e verifikimit të çelësit API.
Rreziqet e sigurisë të kodimit Vibe: Auditimi i kodit të krijuar nga AI
Rritja e 'kodimit vibe'—ndërtimi i aplikacioneve kryesisht nëpërmjet nxitjes së shpejtë të AI—sjell rreziqe të tilla si kredencialet e koduara dhe modelet e pasigurta të kodit. Për shkak se modelet AI mund të sugjerojnë kodin e bazuar në të dhënat e trajnimit që përmbajnë dobësi, prodhimi i tyre duhet të trajtohet si i pabesueshëm dhe të auditohet duke përdorur mjete të automatizuara skanimi për të parandaluar ekspozimin e të dhënave.
Siguria JWT: Rreziqet e argumenteve të pasigurta dhe verifikimi i pretendimit të munguar
JSON Web Tokens (JWT) ofrojnë një standard për transferimin e pretendimeve, por siguria mbështetet në vërtetimin rigoroz. Dështimi për të verifikuar nënshkrimet, kohët e skadimit ose audiencat e synuara i lejon sulmuesit të anashkalojnë vërtetimin ose të riprodhojnë argumentet.
Sigurimi i vendosjeve të Vercel: Mbrojtja dhe praktikat më të mira të kokës
Ky hulumtim eksploron konfigurimet e sigurisë për aplikacionet e strehuara nga Vercel, duke u fokusuar në Mbrojtjen e vendosjes dhe titujt e personalizuar të HTTP. Ai shpjegon se si këto veçori mbrojnë mjediset e pamjes paraprake dhe zbatojnë politikat e sigurisë nga ana e shfletuesit për të parandaluar aksesin e paautorizuar dhe sulmet e zakonshme në ueb.
Injeksioni kritik i komandës OS në LibreNMS (CVE-2024-51092)
Versionet e LibreNMS deri në 24.9.1 përmbajnë një cenueshmëri kritike të injektimit të komandës OS (CVE-2024-51092). Sulmuesit e autentifikuar mund të ekzekutojnë komanda arbitrare në sistemin pritës, duke çuar potencialisht në kompromis të plotë të infrastrukturës së monitorimit.
Injeksioni LiteLLM SQL në verifikimin e çelësit të përfaqësuesit API (CVE-2026-42208)
Versionet LiteLLM 1.81.16 deri në 1.83.6 përmbajnë një cenueshmëri kritike të injektimit SQL në logjikën e verifikimit të çelësit Proxy API. Kjo e metë lejon sulmuesit e paautentikuar të anashkalojnë kontrollet e vërtetimit ose të hyjnë në bazën e të dhënave themelore. Problemi është zgjidhur në versionin 1.83.7.
Firebase Rregullat e sigurisë: Parandalimi i ekspozimit të paautorizuar të të dhënave
Rregullat e sigurisë Firebase janë mbrojtja kryesore për aplikacionet pa server që përdorin Firestore dhe Cloud Storage. Kur këto rregulla janë shumë lejuese, të tilla si lejimi i aksesit global të leximit ose shkrimit në prodhim, sulmuesit mund të anashkalojnë logjikën e synuar të aplikacionit për të vjedhur ose fshirë të dhëna të ndjeshme. Ky hulumtim eksploron keqkonfigurimet e zakonshme, rreziqet e parazgjedhjeve të "modalitetit të testimit" dhe si të zbatohet kontrolli i aksesit i bazuar në identitet.
Mbrojtja e CSRF: Mbrojtja kundër ndryshimeve të paautorizuara të shtetit
Falsifikimi i Kërkesave Ndër-Site (CSRF) mbetet një kërcënim i rëndësishëm për aplikacionet në internet. Ky hulumtim eksploron se si kornizat moderne si Django zbatojnë mbrojtjen dhe se si atributet e nivelit të shfletuesit si SameSite ofrojnë mbrojtje të thellë kundër kërkesave të paautorizuara.
Lista kontrolluese e sigurisë API: 12 gjëra që duhen kontrolluar përpara se të dilni drejtpërdrejt
API-të janë shtylla kurrizore e aplikacioneve moderne të uebit, por shpesh u mungon ashpërsia e sigurisë së frontendeve tradicionale. Ky artikull kërkimor përshkruan një listë kontrolli thelbësore për sigurimin e API-ve, duke u fokusuar në kontrollin e aksesit, kufizimin e tarifave dhe ndarjen e burimeve me origjinë të kryqëzuar (CORS) për të parandaluar shkeljet e të dhënave dhe abuzimin e shërbimit.
API Rrjedhja kryesore: Rreziqet dhe korrigjimi në aplikacionet moderne të uebit
Sekretet e koduara të forta në kodin frontend ose në historinë e depove i lejojnë sulmuesit të imitojnë shërbimet, të kenë akses në të dhënat private dhe të bëjnë kosto. Ky artikull mbulon rreziqet e rrjedhjeve sekrete dhe hapat e nevojshëm për pastrimin dhe parandalimin.
CORS konfigurim i gabuar: Rreziqet e politikave tepër lejuese
Ndarja e burimeve ndër-origjina (CORS) është një mekanizëm i shfletuesit i krijuar për të relaksuar Politikën me origjinë të njëjtë (SOP). Ndonëse është i nevojshëm për aplikacionet moderne të uebit, zbatimi i pahijshëm - si jehona e titullit të Origjinës së kërkuesit ose vendosja në listën e bardhë të origjinës "null" - mund të lejojë faqet me qëllim të keq të nxjerrin të dhënat e përdoruesve privatë.
Sigurimi i MVP-së: Parandalimi i rrjedhjeve të të dhënave në aplikacionet SaaS të krijuara nga AI
Aplikacionet SaaS të zhvilluara me shpejtësi shpesh vuajnë nga mbikëqyrje kritike të sigurisë. Ky hulumtim eksploron se si sekretet e zbuluara dhe kontrollet e thyera të aksesit, të tilla si mungesa e sigurisë së nivelit të rreshtit (RLS), krijojnë dobësi me ndikim të lartë në grupet moderne të uebit.