// sårbarhetsforskning
Sårbarhetsforskning för AI-byggda webbplatser och appar.
Källbaserade noter om sårbarheter som är viktiga för AI-genererade webbappar, BaaS-stackar, frontendpaket, autentisering och beroendesäkerhet.
SQL-injektion i spökinnehåll API (CVE-2026-26980)
Ghost-versionerna 3.24.0 till 6.19.0 innehåller en kritisk SQL-injektionssårbarhet i Content API. Detta gör att oautentiserade angripare kan köra godtyckliga SQL-kommandon, vilket kan leda till dataexfiltrering eller obehöriga ändringar.
All forskning
34 artiklar
Fjärrkodexekvering i SPIP via malltaggar (CVE-2016-7998)
SPIP version 3.1.2 och tidigare innehåller en sårbarhet i mallkomponeraren. Autentiserade angripare kan ladda upp HTML-filer med skapade INCLUDE- eller INCLURE-taggar för att exekvera godtycklig PHP-kod på servern.
ZoneMinder Apache Configuration Information Disclosure (CVE-2016-10140)
ZoneMinder version 1.29 och 1.30 påverkas av en felkonfiguration av Apache HTTP Server. Detta fel gör det möjligt för fjärranslutna, oautentiserade angripare att bläddra i webbrotkatalogen, vilket kan leda till att känslig information avslöjas och autentisering förbigås.
Next.js Felkonfiguration av säkerhetsrubrik i next.config.js
Next.js-applikationer som använder next.config.js för headerhantering är känsliga för säkerhetsluckor om sökvägsmatchningsmönster är oprecisa. Den här forskningen undersöker hur felkonfigurationer med jokertecken och regex leder till att säkerhetsrubriker saknas på känsliga rutter och hur konfigurationen förstärks.
Otillräcklig säkerhetshuvudkonfiguration
Webbapplikationer misslyckas ofta med att implementera viktiga säkerhetsrubriker, vilket gör att användarna utsätts för cross-site scripting (XSS), clickjacking och datainjektion. Genom att följa etablerade webbsäkerhetsriktlinjer och använda granskningsverktyg som MDN Observatory kan utvecklare avsevärt hårdna sina applikationer mot vanliga webbläsarbaserade attacker.
Minska OWASP Topp 10 risker i snabb webbutveckling
Indiehackare och små team möter ofta unika säkerhetsutmaningar när de skickar snabbt, särskilt med AI-genererad kod. Denna forskning belyser återkommande risker från kategorierna CWE Top 25 och OWASP, inklusive trasig åtkomstkontroll och osäkra konfigurationer, vilket ger en grund för automatiserade säkerhetskontroller.
Osäkra HTTP Header-konfigurationer i AI-genererade applikationer
Applikationer som genereras av AI-assistenter saknar ofta viktiga HTTP-säkerhetsrubriker, eftersom de inte uppfyller moderna säkerhetsstandarder. Detta utelämnande gör webbapplikationer sårbara för vanliga attacker på klientsidan. Genom att använda riktmärken som Mozilla HTTP Observatory kan utvecklare identifiera saknade skydd som CSP och HSTS för att förbättra sin applikations säkerhetsställning.
Upptäcka och förebygga scripting över flera webbplatser (XSS) sårbarheter
Cross-Site Scripting (XSS) inträffar när en applikation innehåller opålitliga data på en webbsida utan korrekt validering eller kodning. Detta gör att angripare kan köra skadliga skript i offrets webbläsare, vilket leder till sessionskapning, obehöriga handlingar och exponering av känslig data.
LiteLLM Proxy SQL Injection (CVE-2026-42208)
En kritisk SQL-injektionssårbarhet (CVE-2026-42208) i LiteLLMs proxykomponent tillåter angripare att kringgå autentisering eller komma åt känslig databasinformation genom att utnyttja API-nyckelverifieringsprocessen.
Säkerhetsrisker med Vibe-kodning: Granskning av AI-genererad kod
Uppkomsten av "vibe-kodning" – att bygga applikationer främst genom snabb AI-prompt – introducerar risker som hårdkodade autentiseringsuppgifter och osäkra kodmönster. Eftersom AI-modeller kan föreslå kod baserad på träningsdata som innehåller sårbarheter, måste deras utdata behandlas som opålitligt och granskas med hjälp av automatiserade skanningsverktyg för att förhindra dataexponering.
JWT Säkerhet: Risker för osäkrade tokens och saknad anspråksvalidering
JSON Web Tokens (JWT) tillhandahåller en standard för överföring av anspråk, men säkerheten är beroende av noggrann validering. Underlåtenhet att verifiera signaturer, utgångstider eller avsedda målgrupper tillåter angripare att kringgå autentisering eller spela upp tokens.
Säkra Vercel-distributioner: bästa praxis för skydd och rubrik
Denna forskning utforskar säkerhetskonfigurationer för Vercel-värdade applikationer, med fokus på distributionsskydd och anpassade HTTP-rubriker. Den förklarar hur dessa funktioner skyddar förhandsgranskningsmiljöer och tillämpar säkerhetspolicyer på webbläsaren för att förhindra obehörig åtkomst och vanliga webbattacker.
Kritisk OS-kommandeinjektion i LibreNMS (CVE-2024-51092)
LibreNMS-versioner upp till 24.9.1 innehåller en kritisk sårbarhet för OS-kommandeinjektion (CVE-2024-51092). Autentiserade angripare kan utföra godtyckliga kommandon på värdsystemet, vilket kan leda till total kompromiss av övervakningsinfrastrukturen.
LiteLLM SQL-injektion i proxy API nyckelverifiering (CVE-2026-42208)
LiteLLM versionerna 1.81.16 till 1.83.6 innehåller en kritisk SQL-injektionssårbarhet i Proxy API nyckelverifieringslogik. Denna brist gör det möjligt för oautentiserade angripare att kringgå autentiseringskontroller eller komma åt den underliggande databasen. Problemet är löst i version 1.83.7.
Firebase Säkerhetsregler: Förhindrar obehörig dataexponering
Firebase Säkerhetsregler är det primära försvaret för serverlösa applikationer som använder Firestore och Cloud Storage. När dessa regler är för tillåtande, som att tillåta global läs- eller skrivåtkomst i produktionen, kan angripare kringgå avsedd programlogik för att stjäla eller radera känslig data. Den här forskningen utforskar vanliga felkonfigurationer, riskerna med standardinställningar i "testläge" och hur man implementerar identitetsbaserad åtkomstkontroll.
CSRF-skydd: Försvar mot obehöriga tillståndsförändringar
Cross-Site Request Forgery (CSRF) är fortfarande ett betydande hot mot webbapplikationer. Den här forskningen utforskar hur moderna ramverk som Django implementerar skydd och hur attribut på webbläsarnivå som SameSite ger ett djupgående försvar mot obehöriga förfrågningar.
API säkerhetschecklista: 12 saker att kontrollera innan du går live
API:er är ryggraden i moderna webbapplikationer men saknar ofta säkerhetssträngen hos traditionella gränssnitt. Den här forskningsartikeln beskriver en viktig checklista för att säkra API:er, med fokus på åtkomstkontroll, hastighetsbegränsning och resursdelning mellan olika ursprung (CORS) för att förhindra dataintrång och tjänstemissbruk.
API Nyckelläckage: risker och åtgärdande i moderna webbappar
Hårdkodade hemligheter i frontend-kod eller förvarshistorik gör att angripare kan imitera tjänster, komma åt privata data och ådra sig kostnader. Den här artikeln täcker riskerna för hemligt läckage och de nödvändiga stegen för sanering och förebyggande.
CORS Felkonfiguration: risker för alltför tillåtande policyer
Cross-Origin Resource Sharing (CORS) är en webbläsarmekanism utformad för att slappna av Same-Origin Policy (SOP). Även om det är nödvändigt för moderna webbappar, kan felaktig implementering – som att återskapa begärandens ursprungshuvud eller vitlista med "null"-ursprunget – tillåta skadliga webbplatser att exfiltrera privat användardata.
Säkra MVP:n: Förhindra dataläckor i AI-genererade SaaS-appar
Snabbt utvecklade SaaS-applikationer lider ofta av kritiska säkerhetsförbiser. Den här forskningen undersöker hur läckta hemligheter och trasiga åtkomstkontroller, som saknad Row Level Security (RLS), skapar storslagna sårbarheter i moderna webbstackar.