// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
Arwah mazmunyna SQL sanjym API (CVE-2026-26980)
Arwah wersiýalary 3.24.0-dan 6.19.0-a çenli API Mazmunda SQL sanjym gowşaklygy bar. Bu, tassyklanmadyk hüjümçilere maglumatlaryň süzülmegine ýa-da rugsatsyz üýtgemegine sebäp bolup biljek özbaşdak SQL buýruklaryny ýerine ýetirmäge mümkinçilik berýär.
Ähli research
34 articles
Şablon bellikleri (CVE-2016-7998) arkaly SPIP-de uzakdan kod ýerine ýetirilişi
SPIP 3.1.2 we ondan öňki wersiýalarynda şablon kompozitorynda gowşaklyk bar. Hakyky hüjümçiler serwerde özbaşdak PHP koduny ýerine ýetirmek üçin ýasalan INCLUDE ýa-da INCLURE bellikleri bilen HTML faýllaryny ýükläp bilerler.
ZoneMinder Apache konfigurasiýa maglumatlarynyň aýan edilmegi (CVE-2016-10140)
ZoneMinder 1.29 we 1.30 wersiýalarynda birleşdirilen Apache HTTP Server ýalňyş konfigurasiýasy täsir edýär. Bu kemçilik, uzakdaky, tassyklanmadyk hüjümçilere web kök katalogyna göz aýlamaga mümkinçilik berýär, bu duýgur maglumatlaryň açylmagyna we tassyklanyş aýlawyna sebäp bolup biler.
Next.js Howpsuzlyk sözbaşy indiki.config.js sahypasynda ýalňyş konfigurasiýa
Sözbaşy dolandyrmak üçin next.config.js ulanýan Next.js programmalary, ýol gabat gelýän nagyşlar nädogry bolsa, howpsuzlyk boşlugyna sezewar bolup biler. Bu gözleg, kartoçka we regex ýalňyş konfigurasiýalarynyň duýgur ugurlarda howpsuzlyk sözbaşylarynyň ýitmegine we konfigurasiýany nädip gatylaşdyrmalydygyny öwrenýär.
Securityeterlik däl howpsuzlyk sözbaşy konfigurasiýasy
Web programmalary, köplenç ulanyjylary saýt skriptlerine (XSS), basmak we maglumat sanjymyna sezewar edip, möhüm howpsuzlyk sözbaşylaryny ýerine ýetirip bilmeýärler. Bellenen web howpsuzlygy görkezmelerine eýermek we MDN obserwatoriýasy ýaly gözegçilik gurallaryny ulanmak bilen, döredijiler umumy brauzer esasly hüjümlere garşy programmalaryny ep-esli derejede kynlaşdyryp bilerler.
OWASP çalt web ösüşinde iň gowy 10 töwekgelçilik
Indi hakerleri we kiçi toparlar çalt iberilende köplenç aýratyn howpsuzlyk kynçylyklary bilen ýüzbe-ýüz bolýarlar, esasanam AI döredilen kod bilen. Bu gözleg, awtomatiki howpsuzlyk barlaglary üçin esas döredýän CWE Top 25 we OWASP kategoriýalarynda gaýtalanýan töwekgelçilikleri görkezýär.
AI-döredilen programmalarda ygtybarly HTTP sözbaşy sazlamalary
AI kömekçileri tarapyndan döredilen programmalarda köplenç häzirki zaman howpsuzlyk standartlaryna laýyk gelmeýän möhüm HTTP howpsuzlyk sözbaşylary ýok. Bu ýalňyşlyk, web programmalaryny umumy müşderi tarapyndan edilýän hüjümlere sezewar edýär. Mozilla HTTP obserwatoriýasy ýaly görkezijileri ulanmak bilen, döredijiler programmalarynyň howpsuzlyk ýagdaýyny gowulandyrmak üçin CSP we HSTS ýaly ýiten goraglary kesgitläp bilerler.
Sahypa skriptlerini (XSS) gowşaklyklary ýüze çykarmak we olaryň öňüni almak.
Sahypa skriptleri (XSS), bir programma dogry tassyklama ýa-da kodlamazdan web sahypasynda ynamsyz maglumatlary öz içine alanda ýüze çykýar. Bu hüjümçilere pidanyň brauzerinde zyýanly skriptleri ýerine ýetirmäge mümkinçilik berýär, bu bolsa sessiýanyň ogurlanmagyna, rugsatsyz hereketlere we maglumatlaryň duýgur bolmagyna sebäp bolýar.
LiteLLM proksi SQL sanjym (CVE-2026-42208)
LiteLLM-iň proksi komponentindäki möhüm SQL sanjym gowşaklygy (CVE-2026-42208) hüjümçilere API açar barlamak prosesini ulanyp, hakykylygyny tassyklamaga ýa-da duýgur maglumatlar bazasyna girmäge mümkinçilik berýär.
Vibe kodlamagyň howpsuzlyk töwekgelçilikleri: AI-den döredilen kod
“Vibe kodlaşdyrmagyň” ýokarlanmagy, ilkinji nobatda çalt AI gyssagly programmalary gurmak - gaty kodlanan şahsyýetnamalar we ygtybarly kod nagyşlary ýaly töwekgelçilikleri döredýär. AI modelleri gowşak goralanlygy öz içine alýan okuw maglumatlaryna esaslanýan kody teklip edip bilýändigi sebäpli, olaryň çykyşyna ynamsyz garalmaly we maglumatlaryň täsiriniň öňüni almak üçin awtomatiki skaner gurallary arkaly barlag geçirilmeli.
JWT Howpsuzlyk: Goragsyz tokenleriň töwekgelçiligi we talaplaryň tassyklanmagy
JSON Web Tokens (JWTs) talaplary geçirmek üçin standart üpjün edýär, ýöne howpsuzlyk berk tassyklamalara daýanýar. Gollary, möhleti ýa-da niýetlenen tomaşaçylary barlamazlyk hüjümçilere tassyklamadan aýlanyp geçmäge ýa-da bellikleri gaýtadan görkezmäge mümkinçilik berýär.
Vercel ýerleşdirmeleri goramak: Gorag we sözbaşy iň oňat tejribe
Bu gözleg, ýerleşdirmäni goramak we adaty HTTP sözbaşylaryna ünsi jemläp, Vercel ýerleşdirilen programmalar üçin howpsuzlyk konfigurasiýalaryny öwrenýär. Bu aýratynlyklaryň deslapky gurşawy nädip goraýandygyny we birugsat girilmeginiň we umumy web hüjümleriniň öňüni almak üçin brauzer tarapyndaky howpsuzlyk syýasatlaryny nähili ýerine ýetirýändigini düşündirýär.
LibreNMS-de kritiki OS buýruk sanjymy (CVE-2024-51092)
24.9.1-a çenli LibreNMS wersiýalarynda OS buýrugynyň sanjym gowşaklygy (CVE-2024-51092) bar. Hakyky hüjümçiler, gözegçilik ulgamynda özbaşdak buýruklary ýerine ýetirip bilerler, bu bolsa gözegçilik infrastrukturasynyň tutuşlygyna ylalaşylmagyna sebäp bolup biler.
Proxy API açar barlagynda LiteLLM SQL sanjym (CVE-2026-42208)
LiteLLM 1.81.16-dan 1.83.6 wersiýalaryna Proxy API açar barlamak logikasynda möhüm SQL sanjym gowşaklygy bar. Bu kemçilik, tassyklanmadyk hüjümçilere tanamaklyk dolandyryşlaryndan aýlanyp geçmäge ýa-da esasy maglumatlar bazasyna girmäge mümkinçilik berýär. Mesele 1.83.7 wersiýasynda çözüldi.
Firebase Howpsuzlyk düzgünleri: Rugsat berilmedik maglumatlaryň ýaýramagynyň öňüni almak
Firebase Howpsuzlyk düzgünleri, Firestore we Cloud Storage ulanyp, serwersiz programmalar üçin esasy gorag. Haçan-da bu düzgünler önümçilige global okamaga ýa-da ýazmaga rugsat bermek ýaly aşa rugsat berse, hüjümçiler duýgur maglumatlary ogurlamak ýa-da ýok etmek üçin niýetlenen programma logikasyndan aýlanyp bilerler. Bu gözleg, umumy ýalňyş konfigurasiýalary, 'synag re modeiminiň' defolt töwekgelçiligini we şahsyýete esaslanýan giriş gözegçiligini nädip durmuşa geçirmelidigini öwrenýär.
CSRF goragy: Rugsat berilmedik döwlet üýtgeşmelerinden goramak
Sahypa haýyşlaryny ýasamak (CSRF) web programmalary üçin möhüm howp bolup galýar. Bu gözleg, Django ýaly döwrebap çarçuwalaryň goragy nähili amala aşyrýandygyny we SameSite ýaly brauzer derejesindäki atributlaryň rugsatsyz haýyşlardan goranyşy üpjün edýändigini öwrenýär.
API Howpsuzlyk barlag sanawy: Göni gitmezden ozal barlanmaly 12 zat
API-ler häzirki zaman web programmalarynyň diregi bolup durýar, ýöne köplenç adaty frontalaryň howpsuzlyk berkligi ýok. Bu gözleg makalasy, maglumatlaryň bozulmagynyň we hyzmatlaryň hyýanatçylykly peýdalanmagynyň öňüni almak üçin giriş gözegçiligine, nyrh çäklendirilmegine we çeşme çeşmelerini paýlaşmaga (CORS) ünsi jemläp, API-leri üpjün etmek üçin möhüm gözegçilik sanawyny görkezýär.
API Düwmeleriň syzmagy: Häzirki zaman web programmalarynda töwekgelçilikler we düzedişler
Öňdäki kodda ýa-da ammar taryhynda gaty kodlanan syrlar hüjümçilere hyzmatlary görkezmäge, şahsy maglumatlara girmäge we çykdajylary çekmäge mümkinçilik berýär. Bu makala gizlin syzmak töwekgelçiligini we arassalamak we öňüni almak üçin zerur ädimleri öz içine alýar.
CORS Nädogry konfigurasiýa: Artykmaç rugsat beriji syýasatlaryň töwekgelçilikleri
Çeşmeleriň çeşmesini paýlaşmak (CORS), şol bir gelip çykyş syýasatyny (SOP) gowşatmak üçin döredilen brauzer mehanizmidir. Döwrebap web programmalary üçin zerur bolsa-da, haýyş edijiniň gelip çykyş sözbaşysyny gaýtalamak ýa-da “null” gelip çykyşyny aklamak ýaly nädogry durmuşa geçirmek, zyýanly saýtlaryň şahsy ulanyjy maglumatlaryny ýaýratmagyna ýol açyp biler.
MVP-ni goramak: AI-den döredilen SaaS programmalarynda maglumatlaryň syzmagynyň öňüni almak
Çalt işlenip düzülen SaaS programmalary köplenç möhüm howpsuzlyk gözegçiliginden ejir çekýärler. Bu gözleg, ýitirilen hatar derejesi howpsuzlygy (RLS) ýaly syzdyrylan syrlaryň we döwülen giriş dolandyryşlarynyň häzirki zaman web sahypalarynda ýokary täsirli gowşaklyklary döredýändigini öwrenýär.