编译:代码卫士
热门的AI 氛围编程平台 Base44 近期修复了一个严重的认证绕过漏洞,本可导致攻击者越权访问私密企业应用和敏感企业数据。
该漏洞在发布的24小时内就已修复。该事件凸显了快速发展的AI开发生态系统中不断增长的安全隐忧。
认证绕过漏洞
该漏洞由Wiz Research 公司发现,仅需非机密的 app_id 值就能获得对非公开应用的完全访问权限,利用非常简单。
攻击者可利用未记录的API端点 /api/apps/{app_id}/auth/register and /api/apps/{app_id}/auth/verify-otp 为非公开应用创建经验证的账号,从而绕过所有的认证控制,包括单点登录防护措施。这些app_id 值看似像随机字符串如 686d0a751a78bb2608517740,它们被硬编码到 manifests/{app_id}/manifest.json 处的应用显示路径中,因此易于发现。这意味着任何 Base44 应用的标识符都会立即在 URI 路径中可见,导致该漏洞易于在该平台的整个用户库中遭利用。
该漏洞是通过侦查 Base44 的外部攻击面发现的。研究人员在 app.base44.com 和 docs.base44.com 处发现了可公开访问的 Swagger-UI 界面。这些交互式 API 文档工具可暴露无正确访问控制的内部认证端点。研究人员通过检查 Swagger 文档中的 “auth” API 部分,发现这些注册端点缺乏通过仅单点登录访问权限配置的非公开应用的认证要求。该架构可导致该平台的隐私设置通过基础的API 操纵被完全规避。
企业应用面临风险
该漏洞不仅影响个人应用——Base44的共享基础设施模型使所有的客户应用继承了该厂商的安全态势。研究人员发现多款企业应用易受攻击,包括内部聊天机器人、知识库和包括个人可识别信息的人力资源运营系统。
Base44 公司证实称在易受攻击阶段,未有漏洞遭恶意利用的整局,并表示正确的验证系统能够阻止在非公开应用上的越权注册尝试。
随着氛围编程平台用于企业的关键业务功能中,有力的安全基础对于保护共享云环境中的敏感企业数据至关重要。
原文链接
https://cybersecuritynews.com/ai-vibe-coding-platform-hacked/
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
