Ayon sa ME News, noong Abril 21 (UTC+8), ayon sa pagmamasid ng Beating, ang security researcher na si @weezerOSINT ay inilahad sa X na mayroong vulnerability ng Object-Level Authorization Bypass (BOLA) sa AI application building platform na Lovable, kung saan ang anumang libreng account ay maaaring mag-access sa source code, database credentials, at AI chat history ng ibang mga proyekto sa pamamagitan ng API calls. Ang vulnerability ay na-report sa HackerOne noong Marso 3, 2026 (report #3583821), at hanggang ngayon, 48 araw pa rin itong hindi na-repair. Sa pagpapakita ng researcher, nakakuha siya ng buong source code ng management dashboard ng Danish nonprofit na Connected Women in AI, at nabasa niya ang usapan ng developer at Lovable AI tungkol sa database table structure, kung saan kasama ang mga field tulad ng email, first_name, at last_name. Sa paghahambing, nakita niya na ang mga proyekto na itinayo noong Abril 2026 ay bumabalik ng 403 Forbidden, habang ang lumang proyekto na pinapagawa pa rin ng parehong developer 10 araw na ang nakalipas ay bumabalik ng 200 OK kasama ang buong source file tree, na nagpapatotoo na ang Lovable ay nag-repair lamang ng permission check para sa mga bagong proyekto at hindi isinama ang mga umiiral na proyekto. Una pong sinabi ng Lovable na ito ay “intentional design” at “poor documentation,” ngunit sumunod na tinanggap nila ang pagkakamali at ipinaliwanag na noong Pebrero 2026, habang isinasama ang backend permissions, ay naging ulit na bukas ang chat access para sa public projects, at inihulma nila ang kasalanan sa HackerOne triage team, na sinabi nila ay naniniwala na “ang pag-access sa chat ng public projects” ay isang inaasahang pag-uugali, kaya isinara nila ang report. Ang Lovable ay nagsasabing may halaga na $6.6 bilyon at kasama sa kanilang mga kliyente ang Uber, Zendesk, at Deutsche Telekom. (Pinagmulan: BlockBeats)
Ang vulnerability sa Lovable API ay nagpapahintulot sa hindi awtorisadong pag-access sa source code at mga kasaysayan ng AI chat
KuCoinFlashI-share
Summary
Isang ulat tungkol sa vulnerability mula sa MetaEra ay naglalabas ng BOLA flaw sa AI + crypto news platform na Lovable, na nagpapahintulot sa mga libreng user na makakuha ng source code, database credentials, at mga kasaysayan ng chat. Ang isyu ay ireport sa pamamagitan ng HackerOne noong Marso 3, 2026, at nanatiling hindi pa patchado sa loob ng 48 araw. Isang researcher ay ipinakita ang pag-access sa isang proyekto ng Danish nonprofit na Connected Women in AI, na inilabas ang buong source code at sensitibong data. Unang tinanggihan ng Lovable ang ulat bilang nais na disenyo, at pagkatapos ay tinanggap ang pagkakamali at isinisi sa triage team ng HackerOne.
Source:Ipakita ang original
Disclaimer: Ang information sa page na ito ay maaaring nakuha mula sa mga third party at hindi necessary na nagre-reflect sa mga pananaw o opinyon ng KuCoin. Ibinigay ang content na ito para sa mga pangkalahatang informational purpose lang, nang walang anumang representation o warranty ng anumang uri, at hindi rin ito dapat ipakahulugan bilang financial o investment advice. Hindi mananagot ang KuCoin para sa anumang error o omission, o para sa anumang outcome na magreresulta mula sa paggamit ng information na ito.
Maaaring maging risky ang mga investment sa mga digital asset. Pakisuri nang maigi ang mga risk ng isang produkto at ang risk tolerance mo batay sa iyong sariling kalagayang pinansyal. Para sa higit pang information, mag-refer sa aming Terms ng Paggamit at Disclosure ng Risk.