// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
Ghost kontentda SQL injection API (CVE-2026-26980)
3.24.0 dan 6.19.0 gacha bo'lgan Ghost versiyalari API Kontentida muhim SQL in'ektsiya zaifligini o'z ichiga oladi. Bu autentifikatsiya qilinmagan tajovuzkorlarga o'zboshimchalik bilan SQL buyruqlarini bajarishga imkon beradi, bu esa ma'lumotlarning eksfiltratsiyasiga yoki ruxsatsiz o'zgartirishlarga olib kelishi mumkin.
Barcha research
34 articles
Andoza teglari (CVE-2016-7998) orqali SPIP da masofaviy kodni bajarish
SPIP 3.1.2 va undan oldingi versiyalarida shablonni yaratuvchisida zaiflik mavjud. Tasdiqlangan tajovuzkorlar serverda ixtiyoriy PHP kodini bajarish uchun yaratilgan INCLUDE yoki INCLURE teglari bilan HTML fayllarni yuklashlari mumkin.
ZoneMinder Apache konfiguratsiyasi ma'lumotlarini oshkor qilish (CVE-2016-10140)
ZoneMinder 1.29 va 1.30 versiyalari to'plamdagi Apache HTTP Server noto'g'ri konfiguratsiyasidan ta'sirlangan. Ushbu kamchilik masofaviy, autentifikatsiya qilinmagan tajovuzkorlarga veb-ildiz katalogini ko'rib chiqish imkonini beradi, bu esa maxfiy ma'lumotlarni oshkor qilish va autentifikatsiyani chetlab o'tishga olib keladi.
Next.js next.config.js da xavfsizlik sarlavhasi noto‘g‘ri konfiguratsiya
Sarlavhalarni boshqarish uchun next.config.js dan foydalanadigan Next.js ilovalari, agar yoʻlni moslashtirish naqshlari aniq boʻlmasa, xavfsizlik boʻshliqlari paydo boʻlishi mumkin. Ushbu tadqiqot joker belgilar va regex noto'g'ri konfiguratsiyalari nozik marshrutlarda xavfsizlik sarlavhalarining yo'qolishiga qanday olib kelishi va konfiguratsiyani qanday kuchaytirishni o'rganadi.
Xavfsizlik sarlavhasi konfiguratsiyasi yetarli emas
Veb-ilovalar ko'pincha xavfsizlikning muhim sarlavhalarini amalga oshira olmaydi, bu esa foydalanuvchilarni saytlararo skript (XSS), kliklash va ma'lumotlarni kiritishga duchor qiladi. O'rnatilgan veb-xavfsizlik ko'rsatmalariga rioya qilish va MDN Observatory kabi audit vositalaridan foydalangan holda, ishlab chiquvchilar o'z ilovalarini brauzerga asoslangan keng tarqalgan hujumlarga qarshi sezilarli darajada kuchaytirishi mumkin.
OWASP Tez veb-ishlab chiqishdagi eng yaxshi 10 ta xavfni kamaytirish
Indie xakerlar va kichik jamoalar tez yetkazib berishda, ayniqsa AI tomonidan yaratilgan kod bilan tez-tez noyob xavfsizlik muammolariga duch kelishadi. Ushbu tadqiqot CWE Top 25 va OWASP toifalaridagi takrorlanuvchi xavflarni, jumladan, buzilgan kirish nazorati va xavfsiz konfiguratsiyalarni ta'kidlab, avtomatlashtirilgan xavfsizlik tekshiruvlari uchun asos yaratadi.
AI tomonidan yaratilgan ilovalarda ishonchsiz HTTP sarlavhasi konfiguratsiyasi
AI yordamchilari tomonidan yaratilgan ilovalarda ko'pincha zamonaviy xavfsizlik standartlariga javob bermagan muhim HTTP xavfsizlik sarlavhalari mavjud emas. Ushbu e'tiborsizlik veb-ilovalarni umumiy mijoz hujumlariga qarshi himoyasiz qoldiradi. Mozilla HTTP Observatory kabi mezonlardan foydalanib, dasturchilar oʻzlarining ilovalari xavfsizlik holatini yaxshilash uchun CSP va HSTS kabi yetishmayotgan himoyalarni aniqlashlari mumkin.
Saytlararo skriptlarni aniqlash va oldini olish (XSS) zaifliklari
Saytlararo skript yaratish (XSS) ilova veb-sahifadagi ishonchsiz maʼlumotlarni toʻgʻri tekshirish yoki kodlashsiz oʻz ichiga olganida yuzaga keladi. Bu tajovuzkorlarga qurbonning brauzerida zararli skriptlarni bajarishga imkon beradi, bu esa seansni o'g'irlash, ruxsat etilmagan harakatlar va maxfiy ma'lumotlarning oshkor etilishiga olib keladi.
LiteLLM proksi-server SQL in'ektsiyasi (CVE-2026-42208)
LiteLLM proksi-komponentidagi muhim SQL in'ektsiya zaifligi (CVE-2026-42208) buzg'unchilarga API kalitni tekshirish jarayonidan foydalanib, autentifikatsiyani chetlab o'tish yoki maxfiy ma'lumotlar bazasi ma'lumotlariga kirish imkonini beradi.
Vibe kodlashning xavfsizlik xavfi: AI tomonidan yaratilgan kodni tekshirish
"Vib-kodlash" ning o'sishi - birinchi navbatda tezkor AI so'rovi orqali ilovalarni yaratish - qattiq kodlangan hisobga olish ma'lumotlari va xavfsiz kod namunalari kabi xavflarni keltirib chiqaradi. AI modellari zaifliklarni o'z ichiga olgan o'quv ma'lumotlariga asoslangan kodni taklif qilishi mumkinligi sababli, ularning chiqishi ishonchsiz sifatida ko'rib chiqilishi va ma'lumotlar ta'sirini oldini olish uchun avtomatlashtirilgan skanerlash vositalaridan foydalangan holda tekshirilishi kerak.
JWT Xavfsizlik: ta'minlanmagan tokenlar xavfi va da'voni tekshirishning yo'qligi
JSON Web Tokens (JWTs) da'volarni o'tkazish uchun standartni taqdim etadi, ammo xavfsizlik qat'iy tekshirishga tayanadi. Imzolarni, amal qilish muddatini yoki mo‘ljallangan auditoriyani tekshirmaslik tajovuzkorlarga autentifikatsiyani chetlab o‘tish yoki tokenlarni takrorlash imkonini beradi.
Vercel joylashuvlarini himoya qilish: himoya va sarlavhali eng yaxshi amaliyotlar
Ushbu tadqiqot Vercel tomonidan joylashtirilgan ilovalar uchun xavfsizlik konfiguratsiyasini o'rganadi, bunda Deployment Protection va maxsus HTTP sarlavhalariga e'tibor qaratiladi. Bu xususiyatlar oldindan ko'rish muhitlarini qanday himoyalashi va ruxsatsiz kirish va keng tarqalgan veb-hujumlarning oldini olish uchun brauzer tomoni xavfsizlik siyosatlarini qanday qo'llashini tushuntiradi.
LibreNMS (CVE-2024-51092) da Kritik OS buyrug'ini kiritish
24.9.1 gacha bo'lgan LibreNMS versiyalarida OT buyruqlarini kiritishda muhim zaiflik mavjud (CVE-2024-51092). Autentifikatsiya qilingan tajovuzkorlar xost tizimida o'zboshimchalik bilan buyruqlarni bajarishi mumkin, bu esa monitoring infratuzilmasining butunlay buzilishiga olib kelishi mumkin.
API kalitini tekshirish (CVE-2026-42208) proksi-serverida LiteLLM SQL in'ektsiyasi
LiteLLM 1.81.16 dan 1.83.6 gacha versiyalari proksi API kalitni tekshirish mantig'ida muhim SQL in'ektsiya zaifligini o'z ichiga oladi. Ushbu kamchilik autentifikatsiya qilinmagan tajovuzkorlarga autentifikatsiya boshqaruvlarini chetlab o'tish yoki asosiy ma'lumotlar bazasiga kirish imkonini beradi. Muammo 1.83.7 versiyasida hal qilingan.
Firebase Xavfsizlik qoidalari: Ruxsatsiz ma'lumotlarning ta'sirini oldini olish
Firebase Xavfsizlik qoidalari Firestore va Cloud Storage-dan foydalanadigan serversiz ilovalar uchun asosiy himoya hisoblanadi. Ushbu qoidalar ishlab chiqarishda global o'qish yoki yozishga ruxsat berish kabi haddan tashqari ruxsat etilsa, tajovuzkorlar maxfiy ma'lumotlarni o'g'irlash yoki o'chirish uchun mo'ljallangan dastur mantiqini chetlab o'tishlari mumkin. Ushbu tadqiqot keng tarqalgan noto'g'ri konfiguratsiyalar, "sinov rejimi" sukut bo'yicha xavflarni va identifikatsiyaga asoslangan kirishni boshqarishni qanday amalga oshirishni o'rganadi.
CSRF himoyasi: ruxsatsiz davlat o'zgarishlariga qarshi himoya
Saytlararo so'rovlarni soxtalashtirish (CSRF) veb-ilovalar uchun jiddiy tahdid bo'lib qolmoqda. Ushbu tadqiqot Django kabi zamonaviy ramkalar himoyani qanday amalga oshirishi va SameSite kabi brauzer darajasidagi atributlar ruxsatsiz so'rovlardan qanday qilib chuqur himoyalanishini o'rganadi.
API Xavfsizlik tekshiruvi roʻyxati: Jonli efirga chiqishdan oldin tekshirish kerak boʻlgan 12 ta narsa
API-lar zamonaviy veb-ilovalarning asosidir, lekin ko'pincha an'anaviy frontendlarning xavfsizlik qat'iyligi yo'q. Ushbu tadqiqot maqolasida ma'lumotlarning buzilishi va xizmatlardan suiiste'mol qilinishining oldini olish uchun kirishni boshqarish, tezlikni cheklash va manbalar bo'ylab almashishga (CORS) e'tibor qaratilib, API xavfsizligini ta'minlash uchun muhim nazorat ro'yxati keltirilgan.
API Kalit qochqinligi: Zamonaviy veb-ilovalarda xavf va tuzatish
Frontend kodlari yoki omborlar tarixidagi qattiq kodlangan sirlar tajovuzkorlarga xizmatlar nomini o'zgartirish, shaxsiy ma'lumotlarga kirish va xarajatlarni qoplash imkonini beradi. Ushbu maqola maxfiy oqish xavfini va tozalash va oldini olish uchun zarur choralarni o'z ichiga oladi.
CORS Noto'g'ri konfiguratsiya: Haddan tashqari ruxsat beruvchi siyosatlar xavfi
Oʻzaro kelib chiqish manbalarini almashish (CORS) bir xil kelib chiqish siyosatini (SOP) yumshatish uchun moʻljallangan brauzer mexanizmi. Zamonaviy veb-ilovalar uchun zarur bo'lsa-da, noto'g'ri amalga oshirish (masalan, so'rovchining Origin sarlavhasini aks ettirish yoki "null" kelib chiqishini oq ro'yxatga olish - zararli saytlarga shaxsiy foydalanuvchi ma'lumotlarini o'tkazib yuborishga imkon beradi.
MVPni himoya qilish: AI tomonidan yaratilgan SaaS ilovalarida ma'lumotlar sizib chiqishining oldini olish
Tezkor ishlab chiqilgan SaaS ilovalari ko'pincha xavfsizlikning jiddiy buzilishidan aziyat chekadi. Ushbu tadqiqot yo'qolgan Row Level Security (RLS) kabi oshkor qilingan sirlar va buzilgan kirish boshqaruvlari zamonaviy veb-steklarda qanday yuqori ta'sir ko'rsatadigan zaifliklarni yaratishini o'rganadi.