Notícia da ME, 21 de abril (UTC+8): De acordo com monitoramento da Beating, o pesquisador de segurança @weezerOSINT divulgou no X que a plataforma de construção de aplicativos de IA, Lovable, apresenta uma vulnerabilidade de falha de autorização em nível de objeto (BOLA), permitindo que qualquer conta gratuita acesse, por meio de chamadas de API, o código-fonte, credenciais de banco de dados e histórico de conversas de IA de outros usuários. A vulnerabilidade foi relatada através do HackerOne em 3 de março de 2026 (número do relatório #3583821) e, até agora, 48 dias depois, ainda não foi corrigida. Durante a demonstração, o pesquisador acessou o projeto da organização sem fins lucrativos dinamarquesa Connected Women in AI, obtendo todo o código-fonte do painel administrativo e lendo conversas entre desenvolvedores e o Lovable AI sobre a estrutura das tabelas do banco de dados, incluindo campos como email, first_name e last_name. Ao realizar testes comparativos, ele descobriu que projetos criados em abril de 2026 retornavam 403 Forbidden, enquanto projetos antigos ainda em edição pelo mesmo desenvolvedor há 10 dias retornavam 200 OK com a árvore completa dos arquivos-fonte, provando que a Lovable apenas corrigiu a verificação de permissões para novos projetos, sem aplicar a correção aos projetos existentes. Inicialmente, a Lovable classificou o problema como "projeto intencional" e "documentação confusa", mas posteriormente reconheceu o erro, explicando que, durante a unificação da autorização no backend em fevereiro de 2026, o acesso às conversas dos projetos públicos foi acidentalmente reativado, e atribuiu a responsabilidade à equipe de triagem do HackerOne, afirmando que esta considerava "permitir o acesso às conversas de projetos públicos" como um comportamento esperado, resultando no fechamento do relatório. A Lovable afirma ter uma avaliação de US$ 66 bilhões e clientes como Uber, Zendesk e Deutsche Telekom. (Fonte: BlockBeats)
Vulnerabilidade na API Lovable permite acesso não autorizado ao código-fonte e históricos de chat de IA
KuCoinFlashCompartilhar
Resumo
Um relatório de notícias sobre vulnerabilidade da MetaEra revela uma falha BOLA na plataforma de notícias de IA e criptomoeda Lovable, permitindo que usuários gratuitos acessem o código-fonte, credenciais do banco de dados e históricos de bate-papo. O problema foi relatado por meio do HackerOne em 3 de março de 2026 e permaneceu sem correção por 48 dias. Um pesquisador demonstrou acesso a um projeto da organização sem fins lucrativos dinamarquesa Connected Women in AI, expondo o código-fonte completo e dados sensíveis. A Lovable inicialmente descartou o relatório como design intencional, posteriormente admitindo um erro e culpando a equipe de triagem do HackerOne.
Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações.
Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.