ME Haber, 21 Nisan (UTC+8), Beating izleme sistemine göre, güvenlik araştırmacısı @weezerOSINT, X üzerinden AI uygulama geliştirme platformu Lovable'da nesne düzeyinde yetki başarısızlığı (BOLA) açıklığı olduğunu açıkladı. Herhangi bir ücretsiz hesap, API çağrıları aracılığıyla başkalarının projelerinin kaynak kodunu, veritabanı kimlik bilgilerini ve AI sohbet geçmişini yetkisiz şekilde okuyabilir. Bu açıklık, 3 Mart 2026 tarihinde HackerOne üzerinden raporlanmıştır (rapor numarası #3583821) ve bugüne kadar 48 gün boyunca düzeltilmedi. Araştırmacı, Danimarka'nın Connected Women in AI adlı kâr amacı gütmeyen kuruluşunun projesine erişerek yönetim arayüzünün tam kaynak kodunu elde etti ve geliştiricinin Lovable AI ile veritabanı tablo yapısı üzerine yaptığı sohbette email, first_name, last_name gibi alanların yer aldığını gözlemledi. Yapılan karşılaştırmalı testlerde, 2026 yılında oluşturulan yeni projelerde 403 Forbidden yanıtı dönerken, aynı geliştiricinin 10 gün önce hâlâ düzenlediği eski projelerde 200 OK yanıtı dönerken tam kaynak dosya ağacı verildi; bu durum Lovable'un yalnızca yeni projelerde yetki doğrulamasını düzelttiğini, mevcut projelere geriye dönük uygulamadığını kanıtlıyor. Lovable başlangıçta bu durumu "kasıtlı tasarım" ve "belgelerde yetersiz ifade" olarak tanımladı, ancak daha sonra bir hata olduğunu kabul ederek, 2026 Şubat'ta arka uç yetki sistemi birleştirilirken public projelerin sohbet erişiminin yanlışlıkla yeniden açıldığını açıkladı ve sorumluluğu HackerOne'in triaj ekibine yükledi; ekibin "public projelerin sohbetlerinin görüntülenebilir olması" davranışının beklenen bir durum olduğunu düşündüğünü belirtti ve bu nedenle raporu kapattıklarını ifade etti. Lovable,估值 66 milyar dolar ve müşterileri arasında Uber, Zendesk ve Deutsche Telekom yer alıyor. (Kaynak: BlockBeats)
Sevimli API zafiyeti, kaynak koduna ve AI sohbet geçmişlerine yetkisiz erişime izin veriyor
KuCoinFlashPaylaş
Özet
MetaEra'dan gelen bir güvenlik açıklaması, AI + kripto haber platformu Lovable'da bir BOLA kusuru olduğunu ortaya koydu; bu kusur, ücretsiz kullanıcıların kaynak koduna, veritabanı kimlik bilgilerine ve sohbet geçmişlerine erişmesine izin veriyor. Sorun, 3 Mart 2026'da HackerOne üzerinden rapor edildi ve 48 gün boyunca düzeltilmedi. Bir araştırmacı, Danimarkalı sivil toplum kuruluşu Connected Women in AI'nin bir projesine erişim gösterdi ve tam kaynak kodunu ile hassas verileri açığa çıkardı. Lovable, ilk olarak raporu amaçlı tasarım olarak reddetti, daha sonra bir hata yaptığını kabul edip HackerOne'in triaj ekibini suçladı.
Kaynak:Orijinalini göster
Yasal Uyarı: Bu sayfadaki bilgiler üçüncü şahıslardan alınmış olabilir ve KuCoin'in görüşlerini veya fikirlerini yansıtmayabilir. Bu içerik, herhangi bir beyan veya garanti olmaksızın yalnızca genel bilgilendirme amacıyla sağlanmıştır ve finansal veya yatırım tavsiyesi olarak yorumlanamaz. KuCoin, herhangi bir hata veya eksiklikten veya bu bilgilerin kullanımından kaynaklanan sonuçtan sorumlu değildir.
Dijital varlıklara yapılan yatırımlar riskli olabilir. Lütfen bir ürünün risklerini ve risk toleransınızı kendi finansal koşullarınıza göre dikkatlice değerlendirin. Daha fazla bilgi için lütfen Kullanım Koşullarımıza ve Risk Açıklamamıza bakınız.