// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
SQL ינדזשעקשאַן אין גהאָסט אינהאַלט API (CVE-2026-26980)
גייַסט ווערסיעס 3.24.0 ביז 6.19.0 אַנטהאַלטן אַ קריטיש סקל ינדזשעקשאַן וואַלנעראַביליטי אין די אינהאַלט API. דאָס אַלאַוז אַנאָטערייזד אַטאַקערז צו ויספירן אַרביטראַריש סקל קאַמאַנדז, פּאַטענטשאַלי לידינג צו דאַטן עקספילטריישאַן אָדער אַנאָטערייזד מאָדיפיקאַטיאָנס.
אַלע research
34 articles
דורכפירונג פון ווייַט קאָד אין SPIP דורך מוסטער טאַגס (CVE-2016-7998)
SPIP ווערסיעס 3.1.2 און פריער אַנטהאַלטן אַ וואַלנעראַביליטי אין די מוסטער קאַמפּאָוזער. אָטענטאַקייטאַד אַטאַקערז קענען ופּלאָאַד HTML טעקעס מיט קראַפטעד ינקלודע אָדער ינקלורע טאַגס צו ויספירן אַרביטראַריש פפּ קאָד אויף די סערווער.
ZoneMinder אַפּאַטשי קאַנפיגיעריישאַן אינפֿאָרמאַציע אַנטפּלעקונג (CVE-2016-10140)
ZoneMinder ווערסיעס 1.29 און 1.30 זענען אַפעקטאַד דורך אַ באַנדאַלד אַפּאַטשי הטטפּ סערווירער מיסקאַנפיגיעריישאַן. דער פלאָ אַלאַוז ווייַט, אַנאָטענטיקאַטעד אַטאַקערז צו בלעטער די וועב וואָרצל וועגווייַזער, פּאַטענטשאַלי לידינג צו שפּירעוודיק אינפֿאָרמאַציע אַנטפּלעקונג און אָטענטאַקיישאַן בייפּאַס.
Next.js זיכערהייט כעדער מיסקאָנפיגוראַטיאָן אין next.config.js
Next.js אַפּלאַקיישאַנז ניצן next.config.js פֿאַר כעדער פאַרוואַלטונג זענען סאַסעפּטאַבאַל צו זיכערהייט גאַפּס אויב פּאַט-מאַטרייטינג פּאַטערנז זענען ומפּינקטלעך. דער פאָרשונג יקספּלאָרז ווי ווילדקאַרד און רעגעקס מיסקאַנפיגיעריישאַנז פירן צו פעלנדיק זיכערהייט כעדערז אויף שפּירעוודיק רוץ און ווי צו פאַרגליווערן די קאַנפיגיעריישאַן.
ינאַדאַקוואַט זיכערהייט כעדער קאַנפיגיעריישאַן
וועב אַפּלאַקיישאַנז אָפט דורכפאַל צו ינסטרומענט יקערדיק זיכערהייט כעדערז, וואָס לאָזן וסערס יקספּאָוזד צו קרייַז-פּלאַץ סקריפּטינג (XSS), קליקקדזשאַקינג און דאַטן ינדזשעקשאַן. דורך נאָכגיין געגרינדעט וועב זיכערהייט גיידליינז און ניצן אַדאַטינג מכשירים ווי די MDN אָבסערוואַטאָרי, דעוועלאָפּערס קענען באטייטיק פאַרגליווערן זייער אַפּלאַקיישאַנז קעגן פּראָסט בלעטערער-באזירט אנפאלן.
מיטיגייטינג OWASP שפּיץ 10 ריסקס אין גיך וועב אַנטוויקלונג
ינדיע כאַקערז און קליין טימז אָפט האָבן יינציק זיכערהייט טשאַלאַנדזשיז ווען שיפּינג שנעל, ספּעציעל מיט AI-דזשענערייטאַד קאָד. דער פאָרשונג כיילייץ ריקערינג ריסקס פון די CWE Top 25 און OWASP קאַטעגאָריעס, אַרייַנגערעכנט צעבראכן אַקסעס קאָנטראָל און ינסאַקיער קאַנפיגיעריישאַנז, פּראַוויידינג אַ יסוד פֿאַר אָטאַמייטיד זיכערהייט טשעקס.
ינסאַקיער הטטפּ כעדער קאַנפיגיעריישאַנז אין AI-דזשענערייטאַד אַפּלאַקיישאַנז
אַפּפּליקאַטיאָנס דזשענערייטאַד דורך AI אַסיסטאַנץ אָפט פעלן יקערדיק הטטפּ זיכערהייט כעדערז, פיילינג צו טרעפן מאָדערן זיכערהייט סטאַנדאַרדס. דעם אָומישאַן לאָזן וועב אַפּלאַקיישאַנז שפּירעוודיק צו פּראָסט קליענט-זייַט אנפאלן. דורך ניצן בענטשמאַרקס ווי די מאָזיללאַ הטטפּ אָבסערוואַטאָרי, דעוועלאָפּערס קענען ידענטיפיצירן פעלנדיק פּראַטעקשאַנז אַזאַ ווי CSP און HSTS צו פֿאַרבעסערן די זיכערהייט האַלטנ זיך פון זייער אַפּלאַקיישאַן.
דיטעקטינג און פּרעווענטינג קרייַז-פּלאַץ סקריפּטינג (XSS) וואַלנעראַביליטיז
קרייַז-פּלאַץ סקריפּטינג (XSS) אַקערז ווען אַ אַפּלאַקיישאַן ינקלודז אַנטראַסטיד דאַטן אין אַ וועב בלאַט אָן געהעריק וואַלאַדיישאַן אָדער קאָדירונג. דאָס אַלאַוז אַטאַקערז צו ויספירן בייזע סקריפּס אין דעם בלעטערער פון די קאָרבן, וואָס פירן צו סעסיע כיידזשאַקינג, אַנאָטערייזד אַקשאַנז און שפּירעוודיק דאַטן ויסשטעלן.
LiteLLM Proxy SQL Injection (CVE-2026-42208)
א קריטיש סקל ינדזשעקשאַן וואַלנעראַביליטי (CVE-2026-42208) אין LiteLLM ס פּראַקסי קאָמפּאָנענט אַלאַוז אַטאַקערז צו בייפּאַס אָטענטאַקיישאַן אָדער אַקסעס שפּירעוודיק דאַטאַבייס אינפֿאָרמאַציע דורך עקספּלויטינג די API שליסל וועראַפאַקיישאַן פּראָצעס.
זיכערהייט ריסקס פון ווייב קאָודינג: אַודיטינג AI-דזשענערייטאַד קאָד
די העכערונג פון 'ווייב קאָודינג' - בנין אַפּלאַקיישאַנז בפֿרט דורך גיך AI פּראַמפּטינג - ינטראַדוסיז ריסקס אַזאַ ווי כאַרדקאָדעד קראַדענטשאַלז און ינסאַקיער קאָד פּאַטערנז. ווייַל AI מאָדעלס קען פֿאָרשלאָגן קאָד באזירט אויף טריינינג דאַטן מיט וואַלנעראַביליטיז, זייער רעזולטאַט מוזן זיין באהאנדלט ווי אַנטראַסטיד און אַודיטעד ניצן אָטאַמייטיד סקאַנינג מכשירים צו פאַרמייַדן ויסשטעלן פון דאַטן.
JWT זיכערהייט: ריסקס פון אַנסיקיורד טאָקענס און פעלנדיק פאָדערן וואַלאַדיישאַן
JSON וועב טאָקענס (JWTs) צושטעלן אַ נאָרמאַל פֿאַר טראַנספערינג קליימז, אָבער זיכערהייט רילייז אויף שטרענג וואַלאַדיישאַן. דורכפאַל צו באַשטעטיקן סיגנאַטשערז, עקספּעריישאַן צייט אָדער בדעה אַדיאַנסאַז אַלאַוז אַטאַקערז צו בייפּאַס אָטענטאַקיישאַן אָדער ריפּליי טאָקענס.
סיקיורינג Vercel דיפּלוימאַנץ: שוץ און כעדער בעסטער פּראַקטיסיז
דער פאָרשונג יקספּלאָרז זיכערהייט קאַנפיגיעריישאַנז פֿאַר Vercel-כאָוסטיד אַפּלאַקיישאַנז, פאָוקיסינג אויף דיפּלוימאַנט פּראַטעקשאַן און מנהג הטטפּ כעדערז. עס דערקלערט ווי די פֿעיִקייטן באַשיצן פאָרויסיקע ווייַזונג ינווייראַנמאַנץ און דורכפירן זיכערהייט פּאַלאַסיז פון בלעטערער זייַט צו פאַרמייַדן אַנאָטערייזד אַקסעס און פּראָסט וועב אנפאלן.
קריטיש אַס באַפֿעלן ינדזשעקשאַן אין LibreNMS (CVE-2024-51092)
LibreNMS ווערסיעס אַרויף צו 24.9.1 אַנטהאַלטן אַ קריטיש אַס באַפֿעלן ינדזשעקשאַן וואַלנעראַביליטי (CVE-2024-51092). אָטענטאַקייטאַד אַטאַקערז קענען ויספירן אַרביטראַריש קאַמאַנדז אויף דער באַלעבאָס סיסטעם, וואָס קען פירן צו גאַנץ קאָמפּראָמיס פון די מאָניטאָרינג ינפראַסטראַקטשער.
LiteLLM SQL ינדזשעקשאַן אין פּראָקסי API שליסל וועראַפאַקיישאַן (CVE-2026-42208)
LiteLLM ווערסיעס 1.81.16 ביז 1.83.6 אַנטהאַלטן אַ קריטיש סקל ינדזשעקשאַן וואַלנעראַביליטי אין די פּראָקסי API שליסל וועראַפאַקיישאַן לאָגיק. דעם פלאָ אַלאַוז אַנאָטערייזד אַטאַקערז צו בייפּאַס אָטענטאַקיישאַן קאָנטראָלס אָדער אַקסעס די אַנדערלייינג דאַטאַבייס. די אַרויסגעבן איז סאַלווד אין ווערסיע 1.83.7.
Firebase זיכערהייט כּללים: פּרעווענטינג אַנאָטערייזד דאַטאַ ויסשטעלן
Firebase זיכערהייט רולעס זענען די ערשטיק פאַרטיידיקונג פֿאַר סערווערלעסס אַפּלאַקיישאַנז ניצן Firestore און קלאָוד סטאָרידזש. ווען די כּללים זענען אויך פּערמיסיוו, אַזאַ ווי אַלאַוינג גלאבאלע לייענען אָדער שרייַבן אַקסעס אין פּראָדוקציע, אַטאַקערז קענען בייפּאַס די בדעה אַפּלאַקיישאַן לאָגיק צו גאַנווענען אָדער ויסמעקן שפּירעוודיק דאַטן. דער פאָרשונג יקספּלאָרז פּראָסט מיסקאַנפיגיעריישאַנז, די ריסקס פון דיפאָלץ פון 'פּרובירן מאָדע' און ווי צו ינסטרומענט אידענטיטעט-באזירט אַקסעס קאָנטראָל.
CSRF שוץ: דיפענדינג קעגן אַנאָטערייזד שטאַט ענדערונגען
Cross-Site Request Forgery (CSRF) בלייבט אַ באַטייטיק סאַקאָנע פֿאַר וועב אַפּלאַקיישאַנז. דער פאָרשונג יקספּלאָרז ווי מאָדערן פראַמעוואָרקס ווי Django ינסטרומענט שוץ און ווי בלעטערער-מדרגה אַטריביוץ ווי SameSite צושטעלן פאַרטיידיקונג-אין-טיפקייַט קעגן אַנאָטערייזד ריקוועס.
API זיכערהייט טשעקליסט: 12 טינגז צו קאָנטראָלירן איידער איר גיין לעבן
אַפּיס זענען די באַקבאָון פון מאָדערן וועב אַפּלאַקיישאַנז, אָבער אָפט פעלן די זיכערהייט שטרענגקייַט פון טראדיציאנעלן פראָנטענדז. דער פאָרשונג אַרטיקל ליסטעד אַ יקערדיק טשעקליסט פֿאַר סיקיורינג אַפּיס, פאָוקיסינג אויף אַקסעס קאָנטראָל, קורס לימיטינג און קרייַז-אָריגינעל מיטל ייַנטיילונג (CORS) צו פאַרמייַדן דאַטן בריטשיז און סערוויס זידלען.
API שליסל ליקאַדזש: ריסקס און רעמעדיאַטיאָן אין מאָדערן וועב אַפּפּס
שווער-קאָדעד סיקריץ אין פראָנטענד קאָד אָדער ריפּאַזאַטאָרי געשיכטע לאָזן אַטאַקערז צו ימפּערסאַנייט סערוויסעס, אַקסעס פּריוואַט דאַטן און ינקאָרפּערייט קאָס. דער אַרטיקל קאָווערס די ריסקס פון סוד ליקאַדזש און די נייטיק סטעפּס פֿאַר רייניקונג און פאַרהיטונג.
CORS מיסקאָנפיגוראַטיאָן: ריסקס פון אָוווערלי פּערמיסיוו פּאַלאַסיז
קרייַז-אָריגין ריסאָרס ייַנטיילונג (CORS) איז אַ בלעטערער מעקאַניזאַם דיזיינד צו אָפּרוען די סאַמע-אָריגין פּאָליטיק (SOP). כאָטש נייטיק פֿאַר מאָדערן וועב אַפּפּס, ימפּראַפּער ימפּלאַמענטיישאַן - אַזאַ ווי עקאָוינג די אָריגין כעדער פון די ריקוועווער אָדער ווייטליסטינג די 'נול' אָריגין - קענען לאָזן בייזע זייטלעך צו עקספילטרירן פּריוואַט באַניצער דאַטן.
סיקיורינג די MVP: פּרעווענטינג דאַטן ליקס אין AI-דזשענערייטאַד סאַאַס אַפּפּס
ראַפּאַדלי דעוועלאָפּעד סאַאַס אַפּלאַקיישאַנז אָפט ליידן פון קריטיש זיכערהייט אָוווערסייץ. דער פאָרשונג יקספּלאָרז ווי ליקט סיקריץ און צעבראכן אַקסעס קאָנטראָלס, אַזאַ ווי פעלנדיק ראָוו לעוועל זיכערהייט (RLS), שאַפֿן הויך-פּראַל וואַלנעראַביליטיז אין מאָדערן וועב סטאַקס.