Wix Vibe Kódoló Platformján Felfedezett Kritikus Biztonsági Hiba

A Wix legújabb kódolási platformjában, a Base44 Vibe-ban, kritikus biztonsági rést fedeztek fel, amely lehetővé tette a támadók számára, hogy megkerüljék a hitelesítést és hozzáférjenek privát vállalati alkalmazásokhoz. A biztonsági cégek által végzett nyomozás során kiderült, hogy a probléma gyökere egy véletlenszerűen generált azonosító szám, az app_id, amely nyilvános elérhetőségeken, például az alkalmazás URL-jén és a manifest.json fájlban is megtalálható volt. Ez a felfedezés komoly aggodalomra ad okot, mivel a támadók viszonylag egyszerűen megszerezhették ezt az információt.

A sebezhetőség részletei

A Wix Base44 Vibe platformján felfedezett sebezhetőség lehetővé tette, hogy a támadók a megfelelő app_id megismerésével új fiókot hozzanak létre, még akkor is, ha a felhasználói regisztráció le volt tiltva. Az app_id az alkalmazás URI-jában és a manifest.json fájlban volt látható, ami megkönnyítette a támadók dolgát. Az ilyen típusú sebezhetőségek különösen aggasztóak, mivel a vállalati biztonsági intézkedések, mint például az egységes belépés (SSO), könnyen megkerülhetők voltak.

A támadónak nem volt szüksége különleges jogosultságokra vagy mély technikai tudásra ahhoz, hogy kihasználja a sebezhetőséget. Miután azonosította a valós app_id-t, egyszerű eszközökkel, például az open source Swagger-UI-val, új fiókot tudott regisztrálni, amelyhez egy egyszeri jelszót (OTP) kaptak emailben. Ezt követően a támadó be tudott lépni az alkalmazás SSO folyamatán keresztül, teljes hozzáférést kapva a belső rendszerekhez, annak ellenére, hogy az eredeti hozzáférés csak meghatározott felhasználókra vagy csapatokra korlátozódott.

A Wix reakciója

Miután a Wiz biztonsági cég felfedezte a problémát, azonnal értesítette a Wix-et, amely 24 órán belül orvosolta a hibát. A biztonsági jelentés szerint nincs bizonyíték arra, hogy a sebezhetőséget valóban kihasználták volna, és a problémát teljes mértékben orvosolták. A Wix közleménye hangsúlyozta, hogy elkötelezettek a biztonság növelése mellett, és folyamatosan fektetnek a termékeik védelmébe.

A Wiz jelentése azonban rávilágít arra, hogy a gyors ütemű kódolás, mint a Vibe platform esetében, komoly rendszerszintű kockázatokat rejthet, nemcsak az egyes alkalmazásokra, hanem az egész ökoszisztémára nézve. A biztonsági cég megjegyezte, hogy a sebezhetőség felfedezése és kihasználása meglehetősen egyszerű volt, ami aggodalomra ad okot a Wix által hangoztatott proaktív biztonsági intézkedésekkel kapcsolatban.

Mit mond a szakértő?

Megkérdeztük Császár Viktor SEO szakértőt, hogy mit gondol a Wix Base44 Vibe platformján felfedezett sebezhetőségről. Viktor elmondta: „Ez a hír rámutat arra, hogy a biztonság nem csupán a fejlesztés során fontos, hanem a folyamatos ellenőrzés és auditálás is elengedhetetlen. A vállalatoknak figyelniük kell a nyilvánosan elérhető információkra, és meg kell győződniük arról, hogy a szoftvereik megfelelően védettek a potenciális támadókkal szemben. A Wix gyors reakciója dicsérendő, de felveti a kérdést, hogy miért nem voltak képesek korábban felfedezni ezt a sebezhetőséget. A jövőben a hasonló platformoknak még inkább hangsúlyt kell fektetniük a biztonságra.” További információkért látogasson el Császár Viktor weboldalára: csaszarviktor.hu.

Forrás: SearchEngineJournal.com