// vulnerability research
Vulnerability research for AI-built websites and apps.
Source-grounded notes on vulnerabilities that matter to AI-generated web apps, BaaS stacks, frontend bundles, auth, and dependency security.
Abẹrẹ SQL ninu Akoonu Ẹmi API (CVE-2026-26980)
Awọn ẹya iwin 3.24.0 nipasẹ 6.19.0 ni ailagbara abẹrẹ SQL ninu Akoonu API. Eyi ngbanilaaye awọn ikọlu laigba aṣẹ lati ṣiṣẹ awọn aṣẹ SQL lainidii, ti o le yori si imudara data tabi awọn iyipada laigba aṣẹ.
Gbogbo research
34 articles
Ṣiṣe koodu isakoṣo latọna jijin ni SPIP nipasẹ Awọn aami Awoṣe (CVE-2016-7998)
Awọn ẹya SPIP 3.1.2 ati ni iṣaaju ni ailagbara ninu olupilẹṣẹ awoṣe. Awọn ikọlu ti o ni idaniloju le gbejade awọn faili HTML pẹlu iṣẹda INCLUDE tabi INCLURE lati ṣiṣẹ koodu PHP lainidii lori olupin naa.
Ifitonileti Iṣeto Iṣeto ZoneMinder Apache (CVE-2016-10140)
Awọn ẹya ZoneMinder 1.29 ati 1.30 ni ipa nipasẹ aiṣedeede aiṣedeede olupin Apache HTTP. Aṣiṣe yii ngbanilaaye latọna jijin, awọn ikọlu ti ko ni ijẹrisi lati lọ kiri lori iwe-itọsọna root wẹẹbu, ti o le yori si ifitonileti ifarabalẹ ati ilodi ijẹrisi.
Next.js Aṣiṣe Akọsori Aabo ni next.config.js
Awọn ohun elo Next.js ti nlo next.config.js fun iṣakoso akọsori ni ifaragba si awọn ela aabo ti awọn ilana ibaamu ọna jẹ aipe. Iwadi yii ṣawari bii wildcard ati awọn atunto aiṣedeede regex ṣe yori si awọn akọle aabo ti o padanu lori awọn ipa-ọna ifura ati bii o ṣe le ṣe iṣeto ni lile.
Iṣeto Aabo Akọsori aipe
Awọn ohun elo wẹẹbu nigbagbogbo kuna lati ṣe imuṣe awọn akọle aabo to ṣe pataki, nlọ awọn olumulo ti o farahan si iwe afọwọkọ aaye-agbelebu (XSS), tẹjacking, ati abẹrẹ data. Nipa titẹle awọn itọnisọna aabo wẹẹbu ti iṣeto ati lilo awọn irinṣẹ iṣatunṣe bii MDN Observatory, awọn olupilẹṣẹ le ṣe pataki awọn ohun elo wọn le ni pataki lodi si awọn ikọlu orisun ẹrọ aṣawakiri ti o wọpọ.
Dinku OWASP Awọn eewu 10 ti o ga julọ ni Idagbasoke Wẹẹbu Wẹẹbu
Awọn olosa Indie ati awọn ẹgbẹ kekere nigbagbogbo koju awọn italaya aabo alailẹgbẹ nigba gbigbe ni iyara, paapaa pẹlu koodu ipilẹṣẹ AI. Iwadi yii ṣe afihan awọn ewu loorekoore lati CWE Top 25 ati awọn ẹka OWASP, pẹlu iṣakoso iwọle fifọ ati awọn atunto ti ko ni aabo, pese ipilẹ fun awọn sọwedowo aabo adaṣe.
Awọn atunto Akọsori HTTP ti ko ni aabo ni Awọn ohun elo AI ti ipilẹṣẹ
Awọn ohun elo ti ipilẹṣẹ nipasẹ awọn oluranlọwọ AI nigbagbogbo ko ni awọn akọle aabo HTTP to ṣe pataki, kuna lati pade awọn iṣedede aabo ode oni. Yiyọkuro yii jẹ ki awọn ohun elo wẹẹbu jẹ ipalara si awọn ikọlu-ẹgbẹ alabara ti o wọpọ. Nipa lilo awọn aṣepari bii Mozilla HTTP Observatory, awọn olupilẹṣẹ le ṣe idanimọ awọn aabo ti o padanu bii CSP ati HSTS lati mu ilọsiwaju aabo ohun elo wọn dara.
Ṣiṣawari ati Idilọwọ Awọn iwe afọwọkọ Aaye-Agbelebu (XSS) Awọn ailagbara
Akosile-Site-Site (XSS) waye nigbati ohun elo kan pẹlu data ti ko ni igbẹkẹle ninu oju-iwe wẹẹbu kan laisi afọwọsi to dara tabi fifi koodu si. Eyi ngbanilaaye awọn ikọlu lati ṣiṣẹ awọn iwe afọwọkọ irira ninu ẹrọ aṣawakiri ti olufaragba, ti o yori si jija igba, awọn iṣe laigba aṣẹ, ati ifihan data ifura.
LiteLLM Aṣoju SQL Abẹrẹ (CVE-2026-42208)
Ailagbara abẹrẹ SQL pataki kan (CVE-2026-42208) ninu paati aṣoju LiteLLM gba awọn olukolu laaye lati fori ijẹrisi tabi wọle si alaye data data ifura nipa lilo ilana ilana ijẹrisi bọtini API.
Awọn ewu Aabo ti Ifaminsi Vibe: Ṣiṣayẹwo AI-Ti ipilẹṣẹ koodu
Ilọsoke ti 'iforukọsilẹ gbigbọn' — awọn ohun elo ile ni akọkọ nipasẹ iyara AI—ṣafihan awọn eewu bii awọn iwe eri lile ati awọn ilana koodu ti ko ni aabo. Nitori awọn awoṣe AI le daba koodu ti o da lori data ikẹkọ ti o ni awọn ailagbara, iṣelọpọ wọn gbọdọ ṣe itọju bi aigbẹkẹle ati ṣayẹwo nipa lilo awọn irinṣẹ ọlọjẹ adaṣe lati yago fun ifihan data.
Aabo JWT: Awọn eewu ti Awọn ami-ipamọ ti ko ni aabo ati Ifọwọsi Ijẹri ti o padanu
JSON Web Tokens (JWTs) pese boṣewa fun gbigbe awọn ẹtọ, ṣugbọn aabo da lori afọwọsi lile. Ikuna lati mọ daju awọn ibuwọlu, awọn akoko ipari, tabi awọn olugbo ti a pinnu gba awọn ikọlu laaye lati fori ijẹrisi tabi tun ṣe awọn ami ami.
Ṣiṣe aabo Vercel Awọn imuṣiṣẹ: Idaabobo ati Akọsori Awọn iṣe ti o dara julọ
Iwadi yii ṣawari awọn atunto aabo fun awọn ohun elo Vercel ti o gbalejo, ni idojukọ Idaabobo Imuṣiṣẹ ati awọn akọle HTTP aṣa. O ṣe alaye bii awọn ẹya wọnyi ṣe daabobo awọn agbegbe awotẹlẹ ati fi ipa mu awọn eto aabo-aṣawakiri lati ṣe idiwọ iraye si laigba aṣẹ ati awọn ikọlu wẹẹbu ti o wọpọ.
Abẹrẹ aṣẹ OS pataki ni LibreNMS (CVE-2024-51092)
Awọn ẹya LibreNMS to 24.9.1 ni ailagbara abẹrẹ abẹrẹ OS kan ninu (CVE-2024-51092). Awọn ikọlu ti o ni idaniloju le ṣiṣẹ awọn aṣẹ lainidii lori eto agbalejo, ti o le yori si adehun lapapọ ti awọn amayederun ibojuwo.
Abẹrẹ LiteLLM SQL ni Aṣoju API Ijeri Bọtini (CVE-2026-42208)
Awọn ẹya LiteLLM 1.81.16 nipasẹ 1.83.6 ni ailagbara abẹrẹ SQL kan ninu ilana ijẹrisi bọtini Aṣoju API. Aṣiṣe yii ngbanilaaye awọn ikọlu ti ko ni ijẹrisi lati fori awọn iṣakoso ijẹrisi tabi wọle si ibi ipamọ data ti o wa labẹ. Ọrọ naa ti yanju ni ẹya 1.83.7.
Awọn ofin Aabo Firebase: Idilọwọ Ifihan Data Laigba aṣẹ
Awọn ofin Aabo Firebase jẹ aabo akọkọ fun awọn ohun elo olupin ti o lo Firestore ati Ibi ipamọ awọsanma. Nigbati awọn ofin wọnyi ba gba laaye pupọ, gẹgẹ bi gbigba kika agbaye tabi iraye si kikọ ni iṣelọpọ, awọn ikọlu le fori ọgbọn ohun elo ti a pinnu lati ji tabi paarẹ data ifura. Iwadi yii ṣawari awọn atunto aiṣedeede ti o wọpọ, awọn eewu ti awọn aṣiṣe 'ipo idanwo', ati bii o ṣe le ṣe imuse iṣakoso wiwọle orisun idanimọ.
Idaabobo CSRF: Idabobo Lodi si Awọn iyipada Ipinle Laigba aṣẹ
Ibeere Ibeere Agbekọja (CSRF) jẹ irokeke pataki si awọn ohun elo wẹẹbu. Iwadi yii ṣawari bii awọn ilana ode oni bii Django ṣe n ṣe aabo ati bii awọn abuda ipele aṣawakiri bii SameSite ṣe pese aabo-ijinle si awọn ibeere laigba aṣẹ.
Atokọ Aabo API: Awọn nkan 12 Lati Ṣayẹwo Ṣaaju Nlọ Live
Awọn API jẹ ẹhin ti awọn ohun elo wẹẹbu ode oni ṣugbọn nigbagbogbo ko ni aabo aabo ti awọn iwaju iwaju ibile. Nkan iwadii yii ṣe afihan atokọ pataki kan fun aabo awọn API, idojukọ lori iṣakoso iwọle, opin oṣuwọn, ati pinpin awọn orisun agbekọja (CORS) lati ṣe idiwọ awọn irufin data ati ilokulo iṣẹ.
API Jijo bọtini: Awọn ewu ati atunṣe ni Awọn ohun elo Wẹẹbu ode oni
Awọn aṣiri ti o ni koodu lile ni koodu iwaju tabi itan ibi ipamọ gba awọn ikọlu laaye lati ṣe afarawe awọn iṣẹ, wọle si data ikọkọ, ati fa awọn idiyele. Nkan yii ni wiwa awọn ewu ti jijo aṣiri ati awọn igbesẹ pataki fun isọdi ati idena.
CORS Iṣeto ni aiṣedeede: Awọn eewu ti Awọn Ilana Igbanilaaye Aṣeju
Pipin orisun orisun agbelebu-Oti (CORS) jẹ ẹrọ aṣawakiri ti a ṣe apẹrẹ lati sinmi Ilana-Origin (SOP). Lakoko ti o ṣe pataki fun awọn ohun elo wẹẹbu ode oni, imuse aibojumu—gẹgẹbi fifikọ akọsori Oti olubẹwẹ tabi kikojọ funfun ti ipilẹṣẹ 'asan' le gba awọn aaye irira laaye lati mu data olumulo ikọkọ ga.
Ṣe aabo MVP naa: Idilọwọ awọn jijo data ni AI-Ti ipilẹṣẹ SaaS Apps
Awọn ohun elo SaaS ti o ni idagbasoke ni iyara nigbagbogbo jiya lati awọn abojuto aabo to ṣe pataki. Iwadi yii ṣawari bi awọn aṣiri ti jo ati awọn iṣakoso iraye si fifọ, gẹgẹbi sonu Ipele Ipele Aabo (RLS), ṣẹda awọn ailagbara ipa-giga ni awọn akopọ wẹẹbu ode oni.