低权限用户可操控Lovable AI设置的安全漏洞分析

本文详细分析了Lovable平台存在的权限漏洞,低权限用户可越权启用或禁用工作区新项目的AI功能,包含复现步骤、API端点和影响评估,展示了完整的安全漏洞披露流程。

低权限用户可启用或禁用工作区新项目的Lovable AI功能

漏洞报告概述

报告ID: #3369843
报告者: anxioussick
报告时间: 2025年10月3日 19:51 UTC
状态: 已解决
严重程度: 低 (0.1 ~ 3.9)
弱点类型: 权限配置不当

漏洞描述

在lovable.dev平台上,存在权限配置不当漏洞,允许低权限用户为工作区中的新项目启用或禁用Lovable AI功能。

复现步骤

  1. 获取在自己工作区中启用和禁用Lovable AI功能的端点
  2. 在另一个工作区中,以低权限角色重放该端点

API端点详情 

1
2
3
4
5
6
7
8

<!-- 启用功能 -->
DELETE /workspaces/<workspace_id>/tool-preferences/ai_gateway/enable

<!-- 禁用功能 -->
POST /workspaces/<workspace_id>/tool-preferences/ai_gateway/enable
{
  "approval_preference": "disable"
}

证据材料

  • 视频PoC: bac_lovable_AI.mp4 (62.42 MB)
  • 研究标识: X-Hackerone-Research: anxioussick

影响分析

未经授权即可启用或禁用工作区中新项目的Lovable AI功能。

处理时间线

  • 2025年10月3日: 漏洞报告提交
  • 2025年10月5日: 状态更新为"已分类"
  • 2025年10月5日: 严重程度从高(8.8)调整为低
  • 2025年10月5日: 报告关闭,状态标记为"已解决"
  • 2025年10月8日: 请求公开披露
  • 6天前: 报告已被公开披露

官方回应

Lovable VDP团队成员attl_lovable确认: “很好的发现!感谢您帮助我们保持安全!我们已经有了修复方案,应该很快就能发布。”

补充说明

团队指出:即使没有这个漏洞,用户按照设计仍然可以破坏自己的工作区。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次