Selon les nouvelles de ME News, le 21 avril (UTC+8), selon les données surveillées par Beating, le chercheur en sécurité @weezerOSINT a révélé sur X qu'une vulnérabilité de type BOLA (Broken Object Level Authorization) existait sur la plateforme de construction d'applications AI Lovable, permettant à tout compte gratuit d'accéder par API aux codes sources, aux identifiants de base de données et à l'historique des conversations AI d'autres utilisateurs. Cette vulnérabilité a été signalée le 3 mars 2026 via HackerOne (rapport n°3583821) et n'a toujours pas été corrigée après 48 jours. Lors de sa démonstration, le chercheur a accédé au projet de l'organisation à but non lucratif danoise Connected Women in AI, obtenant l'ensemble du code source de son interface d'administration et lisant les échanges entre le développeur et Lovable AI concernant la structure des tables de base de données, incluant des champs tels que email, first_name et last_name. Des tests comparatifs ont révélé que les projets créés en avril 2026 renvoyaient une erreur 403 Forbidden, tandis que les anciens projets encore en cours d'édition par le même développeur il y a 10 jours renvoyaient un statut 200 OK accompagné de l'arborescence complète des fichiers sources, prouvant que Lovable n'a corrigé la validation des autorisations que pour les nouveaux projets, sans appliquer le correctif aux projets existants. Initialement, Lovable a qualifié ce problème de « conception intentionnelle » et d'« absence de clarté dans la documentation », puis a reconnu son erreur, expliquant que lors d'une mise à jour unifiée des autorisations backend en février 2026, l'accès aux discussions des projets publics avait accidentellement été réactivé, et qu'il avait attribué la responsabilité au service de tri de HackerOne, affirmant que ce dernier considérait comme comportement attendu la possibilité de consulter les discussions des projets publics, ce qui avait conduit à la fermeture du rapport. Lovable affirme une valorisation de 66 milliards de dollars et compte parmi ses clients Uber, Zendesk et Deutsche Telekom. (Source : BlockBeats)
Vulnérabilité de l'API Lovable permettant un accès non autorisé au code source et aux historiques de chat IA
KuCoinFlashPartager
Résumé
Un rapport d'actualité sur une vulnérabilité provenant de MetaEra révèle une faille BOLA sur la plateforme d'actualités IA + crypto Lovable, permettant aux utilisateurs gratuits d'accéder au code source, aux identifiants de base de données et aux historiques de chat. Le problème a été signalé via HackerOne le 3 mars 2026 et est resté non corrigé pendant 48 jours. Un chercheur a démontré l'accès à un projet de l'organisation à but non lucratif danoise Connected Women in AI, exposant le code source complet et des données sensibles. Lovable a d'abord rejeté le rapport comme étant un design intentionnel, avant d'admettre ultérieurement une erreur et de rejeter la faute sur l'équipe de triage de HackerOne.
Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations.
Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.