Kritikus sebezhetőséget találtak a Wix Vibe kódolási platformján

A közelmúltban a Wix Vibe kódoló platformjában egy súlyos sebezhetőséget fedeztek fel, amely lehetővé tette a támadók számára, hogy megkerüljék az autentikációt, és hozzáférjenek a vállalati alkalmazásokhoz. A Wiz nevű felhőbiztonsági cég által végzett kutatás során kiderült, hogy a Base44 platformon egy látszólag véletlenszerűen generált azonosító szám, az úgynevezett app_id, nyilvános URL-eken és a manifest.json fájlban is megtalálható volt. Ez a felfedezés komoly aggodalomra adott okot, mivel a támadók számára könnyű volt hozzáférni a titkos adatokhoz.

A nyilvánosan elérhető app_id számok felfedezése rendkívül egyszerű volt. A Wiz jelentése szerint, amikor bármely Base44 platformra épült alkalmazáson navigáltak, az app_id azonnal láthatóvá vált az URI-ban és a manifest.json fájlban. A támadók ezeket az adatokat felhasználva könnyedén létrehozhattak egy érvényes fiókot, még akkor is, ha a felhasználói regisztráció le volt tiltva. Az így létrehozott fiók lehetővé tette a támadók számára, hogy az alkalmazás SSO (Single Sign-On) folyamatán keresztül belépjenek a vállalati rendszerekbe, így teljes hozzáférést nyertek az érzékeny adatokhoz.

A sebezhetőség hatásai

A Wix által érintett alkalmazások többsége a Base44 kódoló platformon készült, és belső használatra készült, például HR, chatbotok és tudásbázisok működtetésére. Ezek a rendszerek személyes azonosításra alkalmas információkat (PII) tartalmaztak, és az HR műveleteket támogatták. A sebezhetőség kiaknázása lehetővé tette a támadók számára, hogy megkerüljék az identitásellenőrzéseket, és hozzáférjenek a privát vállalati alkalmazásokhoz, ami potenciálisan érzékeny adatok kiszivárgásához vezetett.

A Wiz által végzett vizsgálat során a cég a nyilvános információk módszeres áttekintésével találta meg a sebezhetőséget, és ezt követően értesítették a Wix-et, amely azonnal orvosolta a problémát. A biztonsági jelentés szerint nincs arra vonatkozó bizonyíték, hogy a sebezhetőséget kiaknázták volna, és a problémát teljes mértékben orvosolták.

A Wix reakciója és a jövőbeli kockázatok

A Wix nyilatkozatában hangsúlyozta, hogy proaktívan kezelik a biztonsági kérdéseket, és folyamatosan invesztálnak termékeik védelmébe. Megjegyezték, hogy elkötelezettek felhasználóik és adataik védelme mellett. Ugyanakkor a Wiz jelentése arra figyelmeztetett, hogy a gyors ütemű vibe kódolás rendszerszintű kockázatokat teremthet, nem csupán az egyes alkalmazások, hanem az egész ökoszisztémák számára is.

A kutatás során kiderült, hogy a sebezhetőség felfedezése és kihasználása viszonylag egyszerű volt, és nem igényelt különösebb technikai tudást. Ez felveti a kérdést, hogy a Wix miért nem vette észre a problémát, ha valóban proaktív megközelítést alkalmaztak a biztonság terén. A jelentés rávilágít arra, hogy a nyilvános app_id számok felfedezése rendkívül egyszerű, és a biztonsági auditok során ezt a problémát már régóta észlelhették volna.

Mit mond a szakértő a helyzetről?

Megkérdeztük Császár Viktor SEO szakértőt, hogy véleményezze ezt a helyzetet. Viktor elmondta: „A Wix Vibe platformján felfedezett sebezhetőség komoly figyelmeztetés mind a fejlesztők, mind a vállalatok számára. A biztonsági hiányosságok nemcsak a rendszer integritását veszélyeztetik, hanem a felhasználók bizalma is csorbulhat. A vállalatoknak folyamatosan figyelniük kell a biztonsági protokolljaik frissítésére és a potenciális kockázatok azonosítására. A gyorsan változó digitális környezetben elengedhetetlen, hogy a biztonság mindig prioritás legyen, és a cégek ne hagyják figyelmen kívül a hibák időben történő javítását. A jövőben érdemes lenne egy külső biztonsági auditot végezni, hogy elkerüljük az ehhez hasonló incidenseket.”

További információkért látogasson el Császár Viktor weboldalára: Császár Viktor SEO szakértő.

Forrás: SearchEngineJournal.com