// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
Sindano ya SQL katika Maudhui ya Roho API (CVE-2026-26980)
Matoleo ya Ghost 3.24.0 hadi 6.19.0 yana uwezekano mkubwa wa kuathiriwa na SQL katika Maudhui API. Hii huruhusu washambulizi ambao hawajaidhinishwa kutekeleza amri kiholela za SQL, ambayo inaweza kusababisha uchujaji wa data au marekebisho ambayo hayajaidhinishwa.
Utafiti wote
34 articles
Utekelezaji wa Msimbo wa Mbali katika SPIP kupitia Lebo za Kiolezo (CVE-2016-7998)
Matoleo ya SPIP 3.1.2 na ya awali yana athari katika mtunzi wa violezo. Wavamizi walioidhinishwa wanaweza kupakia faili za HTML zilizo na lebo zilizoundwa za INCLUDE au INCLURE ili kutekeleza msimbo kiholela wa PHP kwenye seva.
Ufumbuzi wa Taarifa ya Usanidi wa ZoneMinder Apache (CVE-2016-10140)
Matoleo ya 1.29 na 1.30 ya ZoneMinder yameathiriwa na usanidi usio sahihi wa Apache HTTP Server. Hitilafu hii huruhusu washambuliaji wa mbali, ambao hawajaidhinishwa kuvinjari saraka ya mizizi ya wavuti, ambayo inaweza kusababisha ufichuzi wa taarifa nyeti na upitaji wa uthibitishaji.
Uteuzi wa Kichwa cha Usalama cha Next.js katika next.config.js
Next.js programu zinazotumia next.config.js kwa usimamizi wa kichwa zinaweza kuathiriwa na mapungufu ya usalama ikiwa mifumo ya kulinganisha njia si sahihi. Utafiti huu unachunguza jinsi usanidi mbaya wa kadi-mwitu na regex husababisha kukosa vichwa vya usalama kwenye njia nyeti na jinsi ya kufanya usanidi kuwa mgumu.
Usanidi usiofaa wa Kichwa cha Usalama
Programu za wavuti mara nyingi hushindwa kutekeleza vichwa muhimu vya usalama, hivyo kuwaacha watumiaji wazi kwa uandishi wa tovuti tofauti (XSS), udukuzi wa kubofya, na sindano ya data. Kwa kufuata miongozo imara ya usalama wa wavuti na kutumia zana za ukaguzi kama vile MDN Observatory, wasanidi programu wanaweza kuimarisha programu zao kwa kiasi kikubwa dhidi ya mashambulizi ya kawaida ya kivinjari.
Kupunguza hatari 10 kuu za OWASP katika Ukuzaji wa Haraka wa Wavuti
Wadukuzi wa Indie na timu ndogo mara nyingi hukabiliana na changamoto za kipekee za usalama zinaposafirishwa kwa haraka, hasa kwa kutumia msimbo unaozalishwa na AI. Utafiti huu unaangazia hatari zinazojirudia kutoka kategoria za CWE Juu 25 na OWASP, ikijumuisha udhibiti uliovunjwa wa ufikiaji na usanidi usio salama, na kutoa msingi wa ukaguzi wa usalama wa kiotomatiki.
Usanidi usio salama wa Kichwa cha HTTP katika Programu Zinazozalishwa na AI
Programu zinazozalishwa na wasaidizi wa AI mara nyingi hukosa vichwa muhimu vya usalama vya HTTP, hivyo kushindwa kukidhi viwango vya kisasa vya usalama. Kutokuwepo huku kunaacha programu za wavuti kuwa katika hatari ya mashambulizi ya kawaida ya upande wa mteja. Kwa kutumia alama kama vile Mozilla HTTP Observatory, wasanidi programu wanaweza kutambua ulinzi unaokosekana kama vile CSP na HSTS ili kuboresha mkao wa usalama wa programu yao.
Kugundua na Kuzuia Athari za Uandishi wa Tovuti Mtambuka (XSS)
Uandikaji wa Tovuti Mtambuka (XSS) hutokea wakati programu inajumuisha data isiyoaminika katika ukurasa wa wavuti bila uthibitishaji sahihi au usimbaji. Hii huruhusu washambuliaji kutekeleza hati hasidi katika kivinjari cha mwathiriwa, na kusababisha utekaji nyara wa kipindi, vitendo visivyoidhinishwa na kufichua data nyeti.
Sindano ya SQL ya Wakala wa LiteLLM (CVE-2026-42208)
Athari kubwa ya kuathiriwa na sindano ya SQL (CVE-2026-42208) katika kipengele cha seva mbadala cha LiteLLM huruhusu wavamizi kukwepa uthibitishaji au kufikia maelezo nyeti ya hifadhidata kwa kutumia mchakato wa uthibitishaji wa ufunguo wa API.
Hatari za Usalama za Usimbaji Vibe: Kukagua Msimbo Unaozalishwa na AI
Kuongezeka kwa 'kuweka msimbo wa vibe'—kuunda programu hasa kwa ushawishi wa haraka wa AI—huleta hatari kama vile vitambulisho vilivyo na msimbo mgumu na mifumo ya misimbo isiyo salama. Kwa sababu miundo ya AI inaweza kupendekeza misimbo kulingana na data ya mafunzo iliyo na athari, matokeo yake lazima yachukuliwe kama yasiyoaminika na kukaguliwa kwa kutumia zana za kuchanganua kiotomatiki ili kuzuia kufichua data.
Usalama wa JWT: Hatari za Tokeni Zisizolindwa na Uthibitishaji wa Madai Unaokosekana.
Tokeni za Wavuti za JSON (JWTs) hutoa kiwango cha kuhamisha madai, lakini usalama unategemea uthibitishaji mkali. Kukosa kuthibitisha saini, muda wa mwisho wa matumizi, au hadhira inayolengwa huruhusu washambuliaji kukwepa uthibitishaji au kucheza tena tokeni.
Kulinda Utekelezaji wa Vercel: Ulinzi na Mbinu Bora za Kichwa
Utafiti huu unachunguza usanidi wa usalama wa programu zinazopangishwa na Vercel, ukizingatia Ulinzi wa Usambazaji na vichwa maalum vya HTTP. Inafafanua jinsi vipengele hivi hulinda mazingira ya onyesho la kukagua na kutekeleza sera za usalama za upande wa kivinjari ili kuzuia ufikiaji usioidhinishwa na mashambulizi ya kawaida ya wavuti.
Sindano muhimu ya Amri ya Mfumo wa Uendeshaji katika LibreNMS (CVE-2024-51092)
Matoleo ya LibreNMS hadi 24.9.1 yana hatari kubwa ya kuwekewa amri ya mfumo wa uendeshaji (CVE-2024-51092). Washambulizi walioidhinishwa wanaweza kutekeleza amri kiholela kwenye mfumo wa seva pangishi, na hivyo kusababisha maelewano kamili ya miundombinu ya ufuatiliaji.
Sindano ya LiteLLM SQL katika Proksi API Uthibitishaji Muhimu (CVE-2026-42208)
Matoleo ya LiteLLM 1.81.16 hadi 1.83.6 yana hatari kubwa ya kuathiriwa na SQL katika mantiki ya uthibitishaji wa ufunguo wa Proksi API. Hitilafu hii huruhusu washambuliaji ambao hawajaidhinishwa kukwepa vidhibiti vya uthibitishaji au kufikia hifadhidata ya msingi. Suala hilo linatatuliwa katika toleo la 1.83.7.
Firebase Sheria za Usalama: Kuzuia Ufichuaji wa Data Usioidhinishwa
Firebase Sheria za Usalama ndizo ulinzi mkuu kwa programu zisizo na seva zinazotumia Firestore na Cloud Storage. Wakati sheria hizi zinaruhusu sana, kama vile kuruhusu ufikiaji wa kimataifa wa kusoma au kuandika katika toleo la umma, wavamizi wanaweza kukwepa mantiki ya programu iliyokusudiwa ili kuiba au kufuta data nyeti. Utafiti huu unachunguza usanidi usiofaa wa kawaida, hatari za chaguo-msingi za 'hali ya majaribio', na jinsi ya kutekeleza udhibiti wa ufikiaji unaotegemea utambulisho.
Ulinzi wa CSRF: Kutetea dhidi ya Mabadiliko ya Hali Yasiyoidhinishwa
Ughushi wa Ombi la Tovuti Mtambuka (CSRF) bado ni tishio kubwa kwa programu za wavuti. Utafiti huu unachunguza jinsi mifumo ya kisasa kama vile Django inavyotekeleza ulinzi na jinsi sifa za kiwango cha kivinjari kama vile SameSite hutoa ulinzi wa kina dhidi ya maombi ambayo hayajaidhinishwa.
API Orodha ya Usalama: Mambo 12 ya Kukagua Kabla ya Kuenda Moja kwa Moja
API ndio uti wa mgongo wa programu za kisasa za wavuti lakini mara nyingi hukosa uthabiti wa usalama wa sehemu za mbele za jadi. Makala haya ya utafiti yanaangazia orodha muhimu ya kupata API, inayolenga udhibiti wa ufikiaji, uzuiaji wa viwango, na ugavi wa rasilimali asilia (CORS) ili kuzuia ukiukaji wa data na matumizi mabaya ya huduma.
Uvujaji Muhimu wa API: Hatari na Urekebishaji katika Programu za Kisasa za Wavuti.
Siri zilizo na msimbo mgumu katika msimbo wa mbele au historia ya hazina huruhusu washambuliaji kuiga huduma, kufikia data ya faragha na kulipia gharama. Nakala hii inashughulikia hatari za uvujaji wa siri na hatua muhimu za kusafisha na kuzuia.
CORS Mipangilio Mibaya: Hatari za Sera Zinazoruhusu Kupita Kiasi
Ushirikiano wa Rasilimali za Asili (CORS) ni utaratibu wa kivinjari ulioundwa kulegeza Sera ya Asili Same (SOP). Ingawa ni muhimu kwa programu za kisasa za wavuti, utekelezaji usiofaa--kama vile kurudia kichwa cha Asili cha mwombaji au kuorodhesha asili 'batili' - kunaweza kuruhusu tovuti hasidi kuchuja data ya kibinafsi ya mtumiaji.
Kulinda MVP: Kuzuia Uvujaji wa Data katika Programu za SaaS Zinazozalishwa na AI
Programu za SaaS zilizotengenezwa kwa haraka mara nyingi zinakabiliwa na uangalizi muhimu wa usalama. Utafiti huu unachunguza jinsi siri zilizovuja na vidhibiti vilivyovunjwa vya ufikiaji, kama vile kukosa Usalama wa Kiwango cha Mstari (RLS), huunda udhaifu wa juu katika rafu za kisasa za wavuti.