الصفحة الرئيسية
الأخبار
التفاصيل

ثغرة في واجهة برمجة التطبيقات Lovable تسمح بالوصول غير المصرح به إلى شفرة المصدر وسجلات دردشة الذكاء الاصطناعي

iconKuCoinFlash
مشاركة
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconملخص

expand icon
كشف تقرير أخبار عن ثغرة أمنية من MetaEra عن عيب BOLA في منصة أخبار الذكاء الاصطناعي والعملات المشفرة Lovable، يسمح للمستخدمين المجانيين بالوصول إلى كود المصدر وبيانات اعتماد قاعدة البيانات وسجلات المحادثات. تم الإبلاغ عن هذه المشكلة عبر HackerOne في 3 مارس 2026، وظلت غير مُصلحة لمدة 48 يومًا. وأظهر باحث الوصول إلى مشروع تابع للمنظمة الدنماركية غير الربحية Connected Women in AI، مما كشف كود المصدر الكامل والبيانات الحساسة. ونفت Lovable في البداية التقرير باعتباره تصميمًا مقصودًا، ثم اعترفت لاحقًا بخطأ وألقت اللوم على فريق تصنيف HackerOne.

أخبار ME، في 21 أبريل (UTC+8)، وفقًا لمراقبة Beating، كشف باحث أمني @weezerOSINT على منصة X أن منصة بناء تطبيقات الذكاء الاصطناعي Lovable تعاني من ثغرة في فقدان التفويض على مستوى الكائن (BOLA)، حيث يمكن لأي حساب مجاني من خلال استدعاء واجهة برمجة التطبيقات قراءة غير مصرح بها لشفرة المصدر وبيانات اعتماد قاعدة البيانات وسجلات المحادثات الذكية الاصطناعية الخاصة بمشاريع الآخرين. وقد تم الإبلاغ عن هذه الثغرة عبر HackerOne في 3 مارس 2026 (رقم التقرير #3583821)، ولم يتم إصلاحها حتى الآن بعد 48 يومًا. أثناء العرض التوضيحي، تمكن الباحث من الوصول إلى مشروع منظمة غير ربحية دنماركية تسمى Connected Women in AI، وحصل على شفرة المصدر الكاملة لواجهة الإدارة الخاصة بها، وقرأ محادثة بين المطورين وLovable AI حول هيكل جداول قاعدة البيانات، والتي تضمنت حقول مثل email وfirst_name وlast_name. وعند إجراء اختبار مقارن، وجد أن المشاريع التي تم إنشاؤها في أبريل 2026 عادت برمز 403 Forbidden، بينما عادت المشاريع القديمة التي كان المطور لا يزال يحررها قبل 10 أيام برمز 200 OK مرفقة بشجرة ملفات المصدر الكاملة، مما يثبت أن Lovable أصلحت التحقق من الصلاحيات فقط للمشاريع الجديدة ولم تُصلح المشاريع القائمة. في البداية، وصفت Lovable هذه الثغرة بأنها "تصميم مقصود" و"وصف غير واضح في الوثائق"، لكنها لاحقًا اعترفت بالخطأ، مشيرة إلى أنه أثناء توحيد صلاحيات الخادم الخلفي في فبراير 2026، تم إعادة فتح الوصول إلى محادثات المشاريع العامة عن طريق الخطأ، ونسبت المسؤولية إلى قسم تصنيف HackerOne، قائلةً إنهم اعتبروا أن "إمكانية عرض محادثات المشاريع العامة" سلوكًا متوقعًا، وبالتالي أغلقوا التقرير. تدّعي Lovable أن قيمتها السوقية تبلغ 66 مليار دولار، وتشمل عملائها Uber وZendesk وDeutsche Telekom. (المصدر: BlockBeats)

المصدر:عرض النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات. يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.