Güvenlik araştırmacıları, Lovable’ın yapay zeka destekli geliştirme platformunda hassas kullanıcı verilerini ortaya çıkaran ve yüzlerce uygulamada kötü amaçlı kod enjeksiyonunu sağlayan yaygın bir güvenlik açığı ortaya çıkardılar.
20 Mart 2025’te keşfedilen kritik güvenlik açığı, platformun binlerce kullanıcının kişisel bilgilerini potansiyel olarak tehlikeye atarak satır seviyesi güvenlik (RLS) politikalarını uygulamasını etkiler.
Güvenlik ihlali ilk olarak LinkedIn verilerinden profil oluşturmak için sevimli bir web sitesi olan Linkable’ı incelerken tanımlandı.
.png
)
Araştırmacılar, basit veritabanı sorgularının değiştirilmesinin projenin veritabanı tablolarındaki tüm kullanıcı verilerine yetkisiz erişim sağladığını keşfettiler.
Başlangıçta Lovable’ın Twitter hesabında rapor edildiğinde, şirket sorunu reddetti ve daha sonra hem yanıt tweet’lerini hem de savunmasız siteyi sildi.
Daha fazla araştırma, kapsamın tek bir uygulamanın çok ötesine uzandığını ortaya koydu.
Araştırmacılar, Lovable’ın vitrin platformu “Lovable Launched” dan 1.645 projeyi analiz eden otomatik bir tarama aracı geliştirdiler.
Tarama, yetersiz güvenlik konfigürasyonlarıyla 170 projede (analiz edilen tüm uygulamaların% 10,3’ü) 303 savunmasız uç noktayı tanımladı.
Expedes veriler, Google Haritalar API jetonları, İkizler API anahtarları, eBay kimlik doğrulama jetonları, kullanıcı veritabanları, finansal işlemler ve abonelik ayrıntıları gibi son derece hassas bilgiler içerir.
Özellikle ilgili uç noktalar /functions/v1/get-google-maps-token Ve /rest/v1/rpc/get_gemini_api_keyüçüncü taraf hizmetlere yetkisiz erişime yol açabilecek geliştirici kimlik bilgilerini ortaya çıkarır.
Veri hırsızlığı ve kötü niyetli enjeksiyon
Güvenlik açığı, arka uç işlemleri için büyük ölçüde dış hizmetlere dayanan Lovable’ın müşteri odaklı mimarisinden kaynaklanmaktadır.
Platform üzerine inşa edilen uygulamalar genellikle uygun RLS yapılandırmalarına sahip değildir ve veritabanı içeriğine doğrudan erişmek veya değiştirmek için ön uç kontrollerinin atlanabileceği bir güvenlik boşluğu oluşturur.
Araştırmacılar, “ödeme_status” ayarlaması da dahil olmak üzere bağlantılı veritabanına kötü niyetli veriler enjekte ederek şiddeti gösterdiler: “Ücretli” şerit ödeme entegrasyonunu atlamak için.
Bu saldırı, yetkilendirme başlıklarını isteklerden kaldırarak, güvenlik bağlamını kimlik doğrulamadan kimlik doğrulanmamış kullanıcılara değiştirerek yürütüldü, böylece tüm erişim denetimlerini atlattı.
Platformun yakın zamanda tanıtılan “Güvenlik Tarayıcısı”, yalnızca yüzeysel koruma sağlar ve uygulama mantığı ile doğruluğu veya uyumundan ziyade RLS politikalarının varlığını kontrol eder.
Bu, kullanıcı verilerini ortaya çıkaran temel yanlış yapılandırmaları tespit edemerken yanlış bir güvenlik duygusu yaratır.
Şirket Yanıtı
Birden fazla açıklama denemesine rağmen, Lovable’ın yanıtı yetersiz.
Şirket, 21 Mart 2025’teki ilk güvenlik açığı raporunun alındığını doğruladı, ancak asla önemli bir yanıt vermedi.
45 günlük bir açıklama penceresi oluşturulan 14 Nisan 2025’te bir takip resmi açıklama gönderildi.
Bir Palantir mühendisi bağımsız olarak keşfettiğinde ve sosyal medyada aynı güvenlik açığını açıkladığında, kişisel borç tutarlarının, ev adreslerinin ve API anahtarlarının çıkarılması da dahil olmak üzere aktif sömürü gösterdiğinde aciliyet arttı.
Lovable, 24 Nisan 2025’te gelişmiş güvenlik taramasıyla “sevimli 2.0” i piyasaya sürdü, ancak bu güncelleme temel mimari kırılganlığı ele alamadı.
Son başvuru tarihine göre sevimli anlamlı bir iyileştirme veya kullanıcı bildirimi olmadan, güvenlik araştırmacıları 29 Mayıs 2025’te resmi bir CVE açıklaması yayınladılar.
Olay, hassas kullanıcı verilerini ele alan AI destekli geliştirme platformlarında varışta güvenli konfigürasyonlarla ilgili kritik endişeleri vurgulamaktadır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.