// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
Injection SQL дар Content Ghost API (CVE-2026-26980)
Версияҳои Ghost 3.24.0 то 6.19.0 дорои осебпазирии муҳими тазриқи SQL дар Content API мебошанд. Ин ба ҳамлагарони номаълум имкон медиҳад, ки фармонҳои худсаронаи SQL-ро иҷро кунанд, ки эҳтимолан боиси ихроҷи додаҳо ё тағироти беиҷозат гардад.
Ҳамаи research
34 articles
Иҷрои коди дурдаст дар SPIP тавассути Шаблон Тегҳо (CVE-2016-7998)
Версияҳои SPIP 3.1.2 ва қаблӣ дорои осебпазирии эҷодкунандаи қолаб мебошанд. Ҳамлагарони тасдиқшуда метавонанд файлҳои HTML-ро бо барчаспҳои сохташудаи INCLUDE ё INCLURE бор кунанд, то рамзи PHP-ро дар сервер иҷро кунанд.
Ифшои иттилооти конфигуратсияи ZoneMinder Apache (CVE-2016-10140)
Версияҳои ZoneMinder 1.29 ва 1.30 аз конфигуратсияи нодурусти сервери HTTP Apache зарар дидаанд. Ин нуқсон ба ҳамлагарони дурдаст ва тасдиқнашуда имкон медиҳад, ки феҳристи решаи вебро аз назар гузаронанд, ки эҳтимолан ба ифшои маълумоти ҳассос ва гузариши аутентификатсия оварда мерасонад.
Next.js Танзимоти нодурусти сарлавҳаи амният дар next.config.js
Барномаҳои Next.js, ки next.config.js-ро барои идоракунии сарлавҳа истифода мебаранд, ба холигоҳҳои амниятӣ дучор мешаванд, агар намунаҳои мувофиқи роҳ дақиқ набошад. Ин тадқиқот меомӯзад, ки чӣ тавр конфигуратсияҳои нодурусти аломати ҷодугарӣ ва регекс боиси гум шудани сарлавҳаҳои амниятӣ дар хатсайрҳои ҳассос ва чӣ гуна сахттар кардани конфигуратсия мешаванд.
Конфигуратсияи нокифояи сарлавҳаи амният
Барномаҳои веб аксар вақт сарлавҳаҳои муҳими амниятиро амалӣ карда наметавонанд ва корбаронро ба скриптҳои байнисоҳавӣ (XSS), клик кардан ва воридкунии маълумот дучор мекунанд. Бо риояи дастурҳои муқарраршудаи амнияти веб ва бо истифода аз абзорҳои аудиторӣ ба монанди Обсерваторияи MDN, таҳиягарон метавонанд барномаҳои худро бар зидди ҳамлаҳои маъмулии браузер ба таври назаррас сахттар кунанд.
Коҳиш додани OWASP 10 хатари боло дар рушди босуръати веб
Ҳакерҳои Indie ва дастаҳои хурд аксар вақт ҳангоми интиқоли зуд, махсусан бо коди тавлидшудаи AI бо мушкилоти беназири амниятӣ рӯбарӯ мешаванд. Ин тадқиқот хатарҳои такроршавандаро аз категорияҳои CWE Top 25 ва OWASP, аз ҷумла назорати вайроншудаи дастрасӣ ва конфигуратсияҳои бехатар, фароҳам овардани замина барои санҷишҳои автоматии амниятро таъкид мекунад.
Конфигуратсияҳои сарлавҳаи HTTP бехатар дар барномаҳои аз ҷониби AI тавлидшуда
Барномаҳое, ки аз ҷониби ёрдамчиёни AI тавлид мешаванд, аксар вақт сарлавҳаҳои асосии амнияти HTTP надоранд ва ба стандартҳои муосири амният ҷавобгӯ нестанд. Ин камбудӣ барномаҳои вебро ба ҳамлаҳои маъмулии муштарӣ осебпазир мегардонад. Бо истифода аз меъёрҳо ба монанди Обсерваторияи HTTP Mozilla, таҳиягарон метавонанд муҳофизати норасидаро ба монанди CSP ва HSTS барои беҳтар кардани ҳолати амниятии барномаашон муайян кунанд.
Ошкор ва пешгирии скриптҳои байнисоҳавӣ (XSS) осебпазирӣ
Скрипти байнисоҳавӣ (XSS) вақте рух медиҳад, ки барнома маълумоти беэътимодро дар саҳифаи веб бидуни тасдиқ ё рамзгузории дуруст дар бар мегирад. Ин ба ҳамлагарон имкон медиҳад, ки скриптҳои зарароварро дар браузери ҷабрдида иҷро кунанд, ки боиси рабудани сессия, амалҳои беиҷозат ва фош кардани маълумоти ҳассос мегардад.
Injection LiteLLM Proxy SQL (CVE-2026-42208)
Осебпазирии муҳими тазриқи SQL (CVE-2026-42208) дар ҷузъи проксии LiteLLM ба ҳамлагарон имкон медиҳад, ки тавассути истифодаи раванди тасдиқи калиди API аутентификатсияро гузаранд ё маълумоти махфии махзани маълумотро дастрас кунанд.
Хавфҳои амниятии рамзгузории Vibe: Санҷиши Кодекси тавлидшудаи AI
Афзоиши 'coding vibe' — сохтани замимаҳо пеш аз ҳама тавассути зудамали AI — хатарҳоеро ба мисли эътимодномаҳои сахт кодшуда ва намунаҳои коди ноамнро ба вуҷуд меорад. Азбаски моделҳои AI метавонанд кодро дар асоси маълумоти омӯзишӣ, ки дорои осебпазирӣ мебошанд, пешниҳод кунанд, баромади онҳо бояд ҳамчун беэътимод баррасӣ карда шавад ва бо истифода аз абзорҳои автоматии сканкунӣ барои пешгирӣ аз таъсири маълумот тафтиш карда шавад.
JWT Амният: Хавфи токенҳои эминнашуда ва тасдиқи даъвои гумшуда
JSON Web Tokens (JWTs) стандарти интиқоли даъвоҳоро таъмин мекунанд, аммо амният ба тасдиқи қатъӣ такя мекунад. Тасдиқ накардани имзоҳо, вақти анҷоми мӯҳлат ё аудиторияи пешбинишуда ба ҳамлагарон имкон медиҳад, ки аутентификатсияро гузаранд ё токенҳоро такрор кунанд.
Амнияти ҷойгиркунии Vercel: Таҷрибаҳои беҳтарини ҳифз ва сарлавҳа
Ин тадқиқот конфигуратсияҳои амниятиро барои барномаҳои дар Vercel ҷойгиршуда, тамаркуз ба Муҳофизати густариш ва сарлавҳаҳои фармоишии HTTP меомӯзад. Он мефаҳмонад, ки чӣ гуна ин хусусиятҳо муҳити пешнамоишро муҳофизат мекунанд ва сиёсати амнияти браузерро барои пешгирӣ кардани дастрасии беиҷозат ва ҳамлаҳои маъмулии веб татбиқ мекунанд.
Тазриқи фармони муҳими OS дар LibreNMS (CVE-2024-51092)
Версияҳои LibreNMS то 24.9.1 осебпазирии муҳими тазриқи фармони OS (CVE-2024-51092) доранд. Ҳамлагарони тасдиқшуда метавонанд дар системаи ҳост фармонҳои худсарона иҷро кунанд, ки эҳтимолан ба вайроншавии пурраи инфрасохтори мониторинг оварда мерасонад.
Тазриқи LiteLLM SQL дар прокси API Тасдиқи калид (CVE-2026-42208)
Версияҳои LiteLLM 1.81.16 то 1.83.6 дорои осебпазирии муҳими тазриқи SQL дар мантиқи калиди тасдиқи Proxy API мебошанд. Ин нуқсон ба ҳамлагарони номаълум имкон медиҳад, ки назорати аутентификатсияро гузаранд ё ба пойгоҳи додаҳои аслӣ дастрасӣ пайдо кунанд. Масъала дар версияи 1.83.7 ҳал карда шудааст.
Firebase Қоидаҳои амниятӣ: Пешгирӣ аз таъсири беиҷозати маълумот
Қоидаҳои бехатарии Firebase муҳофизати асосии барномаҳои бе сервер бо истифода аз Firestore ва Cloud Storage мебошанд. Вақте ки ин қоидаҳо аз ҳад зиёд иҷозат медиҳанд, ба монанди иҷозати дастрасии ҷаҳонии хондан ё навиштан дар истеҳсолот, ҳамлагарон метавонанд мантиқи пешбинишудаи барномаро барои дуздӣ ё нест кардани маълумоти ҳассос гузаранд. Ин тадқиқот конфигуратсияҳои нодурусти маъмул, хатарҳои пешфарзҳои "режими санҷиш" ва чӣ гуна татбиқи назорати дастрасиро дар асоси шахсият омӯхтааст.
Муҳофизати CSRF: Муҳофизат аз тағироти беиҷозати давлатӣ
Тақаллубкорӣ дар байни сайтҳо (CSRF) як таҳдиди ҷиддӣ барои барномаҳои веб боқӣ мемонад. Ин тадқиқот меомӯзад, ки чӣ гуна чаҳорчӯбаҳои муосир ба монанди Django муҳофизатро амалӣ мекунанд ва чӣ гуна атрибутҳои сатҳи браузер ба монанди SameSite аз дархостҳои беиҷозат муҳофизати амиқро таъмин мекунанд.
API Рӯйхати санҷиши амният: 12 чизеро, ки бояд пеш аз пахши зинда тафтиш кард
APIҳо асоси замимаҳои муосири веб мебошанд, аммо аксар вақт сахтгирии амнияти фронтҳои анъанавӣ надоранд. Ин мақолаи тадқиқотӣ рӯйхати муҳими назорати API-ҳоро, ки ба назорати дастрасӣ, маҳдудкунии суръат ва мубодилаи сарчашмаҳои сарчашмаҳо (CORS) барои пешгирии вайронкунии маълумот ва сӯиистифода аз хидмат тамаркуз мекунад, нишон медиҳад.
API Ихроҷи калидӣ: Хатарҳо ва ислоҳ дар барномаҳои веби муосир
Асрори сахт-рамзшуда дар коди фронтенд ё таърихи репозиторий ба ҳамлагарон имкон медиҳанд, ки ба хидматҳо тақлид кунанд, ба маълумоти хусусӣ дастрасӣ пайдо кунанд ва хароҷотро ба ӯҳда гиранд. Ин мақола хатарҳои ихроҷи махфӣ ва қадамҳои заруриро барои тоза кардан ва пешгирӣ мекунад.
CORS Конфигуратсияи нодуруст: Хавфи сиёсатҳои аз ҳад зиёд иҷозатдодашуда
Мубодилаи захираҳои байнисоҳавӣ (CORS) як механизми браузерест, ки барои истироҳати Сиёсати якхела (SOP) тарҳрезӣ шудааст. Гарчанде ки барои веб-барномаҳои муосир зарур аст, татбиқи номатлуб, ба монанди аксбардории сарлавҳаи пайдоиши дархосткунанда ё рӯйхати сафед кардани пайдоиши 'null' - метавонад ба сайтҳои зараровар имкон диҳад, ки маълумоти шахсии корбарро хориҷ кунанд.
Таъмини MVP: Пешгирии ихроҷи маълумот дар барномаҳои AI, ки аз ҷониби SaaS тавлид шудааст
Барномаҳои зуд таҳияшудаи SaaS аксар вақт аз назорати ҷиддии амниятӣ азоб мекашанд. Ин тадқиқот меомӯзад, ки чӣ гуна асрори фошшуда ва назорати шикасташудаи дастрасӣ, ба монанди гумшудаи сатҳи амнияти сатр (RLS), осебпазириҳои таъсирбахшро дар стекҳои муосири веб эҷод мекунанд.