Según noticias de ME, el 21 de abril (UTC+8), según el monitoreo de Beating, el investigador de seguridad @weezerOSINT reveló en X que la plataforma de construcción de aplicaciones de IA Lovable presenta una vulnerabilidad de falta de autorización a nivel de objeto (BOLA), permitiendo que cualquier cuenta gratuita acceda mediante llamadas API al código fuente, credenciales de base de datos e historial de conversaciones de IA de otros proyectos. Esta vulnerabilidad fue reportada el 3 de marzo de 2026 a través de HackerOne (informe #3583821) y aún no se ha corregido tras 48 días. Durante la demostración, el investigador accedió al proyecto de la organización sin fines de lucro danesa Connected Women in AI, obteniendo todo el código fuente de su panel de administración y leyendo conversaciones entre desarrolladores y Lovable AI sobre la estructura de tablas de base de datos, incluyendo campos como email, first_name y last_name. Al realizar pruebas comparativas, descubrió que los proyectos creados en abril de 2026 devolvían 403 Forbidden, mientras que los proyectos antiguos que el mismo desarrollador aún estaba editando 10 días antes devolvían 200 OK junto con el árbol completo de archivos fuente, lo que demuestra que Lovable solo corrigió la validación de permisos para nuevos proyectos, sin aplicar la corrección a los existentes. Inicialmente, Lovable afirmó que esto era un "diseño intencional" y que la documentación era "poco clara", pero posteriormente reconoció el error, explicando que durante la unificación del backend en febrero de 2026 se reabrió accidentalmente el acceso a los chats de proyectos públicos, y culpó al equipo de triaje de HackerOne por considerar que "ver los chats de proyectos públicos" era un comportamiento esperado, por lo que cerraron el informe. Lovable afirma tener una valoración de 66 mil millones de dólares y clientes como Uber, Zendesk y Deutsche Telekom. (Fuente: BlockBeats)
Vulnerabilidad en la API Lovable permite acceso no autorizado al código fuente y historiales de chat de IA
KuCoinFlashCompartir
Resumen
Un informe de noticias sobre una vulnerabilidad de MetaEra revela una falla BOLA en la plataforma de noticias de IA y criptomonedas Lovable, que permite a los usuarios gratuitos acceder al código fuente, credenciales de la base de datos e historiales de chat. El problema fue reportado a través de HackerOne el 3 de marzo de 2026 y permaneció sin parchear durante 48 días. Un investigador demostró el acceso a un proyecto de la organización sin fines de lucro danesa Connected Women in AI, exponiendo el código fuente completo y datos sensibles. Lovable inicialmente descartó el informe como diseño intencional, y más tarde admitió un error culpando al equipo de clasificación de HackerOne.
Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información.
Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.