La società di sicurezza informatica Wiz Research ha rivelato una vulnerabilità critica in Base44, la piattaforma”Vibe Coding”recentemente acquisita dal colosso del sito Web Wix. The Flaw, pubblicamente divulgato il 29 luglio , consentito a tutte le applicazioni non autorizzate, a tutte le applicazioni di autenticazione, a tutte le applicazioni di autenticazione, a tutti i controlli, che non sono stati autorizzati a non autorizzare le applicazioni di Autenticazione, incluso She. Wix, which purchased Base44 in June, promptly patched the vulnerability within 24 hours of La sua divulgazione responsabile del 9 luglio.
L’incidente mette una luce dura sui rischi di sicurezza della fiorente tendenza dello sviluppo basata sull’intelligenza artificiale. Arriva sulla scia dei recenti fiascos per la perdita di dati che coinvolgono strumenti da Google e replice, sollevando serie domande sulla sicurezza delle piattaforme native Ai. Conseguenze
La vulnerabilità scoperta da Wiz Research è stata allarmante nella sua semplicità, derivante da sviste fondamentali nella sicurezza dell’API. In una divulgazione tecnica dettagliata , l’azienda ha spiegato che la sua ricognizione è iniziata mapping mapping di domini pubblici di Base44, che ha portato alla scoperta di una interfaccia Swagger-Ui pubblica. Questo strumento, progettato per aiutare gli sviluppatori a interagire con le API, ha effettivamente fornito una tabella di marcia ai meccanismi interni della piattaforma.
all’interno della documentazione API, i ricercatori hanno identificato due endpoint critici: API/Apps/{app_id}/Auth/Auth/APS/APS/APPS/{APP_ID}/Auth/Verify-Otp-That sono stati ESPOSTI SENZA AUTUNE AUTUNICA. Ciò significava che chiunque su Internet potesse chiamare la funzione per registrare un nuovo utente per un’applicazione, anche per le app private in cui le iscrizioni dovevano essere disabilitate o limitate al singolo accesso singolo aziendale (SSO).
Le uniche informazioni necessarie per sfruttare questa era l’app_id dell’applicazione target, un valore che non era trattato come segreto. Wiz ha scoperto che era facilmente ottenibile dal percorso URL dell’applicazione o dal file Manifest.json pubblicamente leggibile. An attacker’s path was straightforward: find an app’s ID, use the exposed API to register an email, verify the account with the one-time password sent to that email, and gain access.
Wiz researcher Gal Nagli explained the mechanics, stating, “the vulnerability we discovered was remarkably simple to exploit… by providing only a non-secret app_id value to undocumented registration and email verification endpoints, an attacker could have created Un account verificato…”. Ciò ha effettivamente reso inutile tutti i controlli sulla privacy previsti di Base44, consentendo un bypass completo del suo metodo di autenticazione più sicuro.
Il difetto evidenzia il profondo rischio sistemico inerente al modello di infrastruttura condivisa utilizzata dalla maggior parte delle moderne piattaforme di sviluppo AI. Poiché tutte le applicazioni dei clienti funzionano sulla stessa fondazione sottostante, ogni inquilino eredita la posizione di sicurezza del fornitore. Come notato da Nagli,”un singolo difetto nel nucleo della piattaforma, specialmente in un componente critico come l’autenticazione, mette a repentaglio istantaneamente ogni singola applicazione basata su di essa”. Questo trasforma un semplice bug in una potenziale catastrofe multi-tenant.
Fortunatamente, la risposta di Wix è stata rapida e decisiva. Dopo che Wiz ha rivelato in modo responsabile la vulnerabilità il 9 luglio, il team di sicurezza dell’azienda ha sviluppato e distribuito una soluzione su tutta la piattaforma Base44 in meno di 24 ore.
In una dichiarazione formale, la società ha confermato la rapida bonifica e gli utenti assicurati, affermando ,”Abbiamo studiato e, finora, non abbiamo riscontrato prove che qualsiasi cliente sia stato influenzato da un attaccante che sfrutta la vulnerabilità. La nostra indagine è in corso mentre continuiamo a prendere sul serio la questione.”Seguendo la patch, i ricercatori di Wiz hanno verificato indipendentemente la correzione era efficace, confermando che i tentativi di registrazione non autorizzati non erano più possibili.
