Cybersecurity firm Wiz Research has revealed a critical vulnerability in Base44, the “vibe coding”platform recently acquired by website giant Wix. The flaw, publicly disclosed on July 29, allowed unauthorized access to private enterprise applications built on the service.
According to Wiz, the simple exploit could have been used to bypass all authentication controls, including SSO. Wix, which purchased Base44 in June, promptly patched the vulnerability within 24 timer med ansvarlig avsløring 9. juli.
Hendelsen kaster et hardt lys på sikkerhetsrisikoen for den voksende AI-drevne utviklingstrenden. It comes on the heels of recent data-loss fiascos involving tools from Google and Replit, raising serious questions about the safety of AI-native platforms.
A Simple Flaw With Systemic Konsekvenser
Sårbarheten som ble oppdaget av Wiz Research var alarmerende i sin enkelhet, og stammet fra grunnleggende tilsyn i API-sikkerhet. I en detaljert teknisk avsløring , forklarte firmaet at dens rekognosering begynte med å kartlegge Base44s offentlige domener. Dette verktøyet, designet for å hjelpe utviklere med å samhandle med API-er, ga effektivt et veikart til plattformens indre arbeid.
Innen API-dokumentasjonen identifiserte forskere to kritiske sluttpunkter-API/APPS/{app_id}/auth/register og API/apps/{app_id}/autho/verify-otp-ththt som var riktig. Dette medførte at alle på internett kunne ringe funksjonen for å registrere en ny bruker for en applikasjon, selv for private apper der påmeldinger skulle være deaktivert eller begrenset til enterprise single Sign-On (SSO).
Det eneste informasjonen som kreves for å utnytte dette var målapplikasjonens app_id, en verdi som ikke ble behandlet som en hemmelighet. Wiz fant at det var lett å oppnå fra applikasjonens URL-bane eller dens offentlig lesbare manifest.json-fil. En angripers bane var grei: Finn en apps ID, bruk det utsatte API-en til å registrere en e-post, bekrefte kontoen med engangspassordet som ble sendt til den e-posten og få tilgang.
Wiz-forsker Gal Nagli forklarte mekanikken, og sa at en ikke-sårbarhet var en annen måte å gi en e-post,”En angriper kunne ha opprettet en bekreftet konto…”. This effectively rendered all of Base44’s intended privacy controls useless, allowing a complete bypass of its most secure authentication method.
The flaw highlights the profound systemic risk inherent in the shared-infrastructure model used by most modern AI development platforms. Fordi alle kundeapplikasjoner kjøres på det samme underliggende grunnlaget, arver hver leietaker leverandørens sikkerhetsstilling. Som Nagli bemerket,”En enkelt feil i plattformens kjerne, spesielt i en kritisk komponent som autentisering, bringer øyeblikkelig hver eneste applikasjon som er bygd på den.”Dette gjør en enkel feil til en potensiell katastrofe med flere leietakere.
Heldigvis var Wix svar rask og avgjørende. Etter at Wiz hadde ansvaret for sårbarheten 9. juli, utviklet selskapets sikkerhetsteam og distribuerte en løsning på hele Base44-plattformen på mindre enn 24 timer.
I en formell uttalelse bekreftet selskapet den raske sanering og forsikrede brukere, Å si ,”Vi har undersøkt og så langt ikke funnet noen bevis for at noen kunder ble påvirket av en angriper som utnyttet sårbarheten. Vår undersøkelse pågår når vi fortsetter å ta denne saken på alvor.”Etter oppdateringen bekreftet Wiz-forskere uavhengig av at løsningen var effektiv, og bekreftet at uautoriserte registreringsforsøk på private applikasjon Kodende gullrushet. Selve forutsetningen for”Vibe Coding”-et begrep som brukes for å beskrive utvikling der brukere stoler på AI for å generere kode uten manuell tilsyn-skaper et minefelt av uforutsette risikoer. When these AI agents can directly execute commands, a simple hallucination can lead to catastrophic, irreversible consequences.
This danger was starkly illustrated just days before the Base44 disclosure, when product manager Anuraag Gupta documented how