不当授权导致编辑器可切换管理员专属工作区功能（Lovable AI）

摘要

具有编辑器角色的账户可以成功调用API端点/workspaces/<WORKSPACE_ID>/tool-preferences/ai_gateway/enable来禁用工作区范围内的管理员专属功能（Lovable AI）。该API未对此操作实施服务器端角色检查，允许垂直权限提升（访问控制失效）。

重现步骤

前置条件

两个账户是同一工作区Victim-Workspace的成员：

• 账户A（所有者/管理员）- 在Victim-Workspace中具有所有者角色
• 账户B（编辑器）- 在同一Victim-Workspace中具有编辑器角色

操作流程

1. 以账户A（管理员）身份登录，并在工作区内关闭AI功能
2. 捕获此端点（负责禁用AI功能）：

1
2
3
4
5
6

POST /workspaces/<WORKSPACE_ID>/tool-preferences/ai_gateway/enable HTTP/2
Host: lovable-api.com
Authorization: Bearer <OWNER-TOKEN>
Content-Type: application/json

{"approval_preference":"disable"}

注意：<WORKSPACE_ID>是Victim-Workspace的工作区ID

3. 修改请求以使用编辑器JWT令牌 将Authorization标头替换为账户B（编辑器）的JWT：

1
2
3
4
5
6

POST /workspaces/<WORKSPACE_ID>/tool-preferences/ai_gateway/enable HTTP/2
Host: lovable-api.com
Authorization: Bearer <EDITOR_JWT>
Content-Type: application/json

{"approval_preference":"disable"}

4. 当使用编辑器的JWT再次发送请求时，请求成功并且Lovable AI设置在工作区中被关闭

概念验证

视频：Lovable_AI_Feature_POC.mp4（8.54 MiB）

影响

根据Lovable AI文档，此功能为工作区的所有AI驱动部分提供支持，如提示集成、内容生成和其他基于模型的操作。

如果编辑器禁用了它，所有这些AI功能在整个工作区中停止工作，破坏了每个成员的功能。由于只有管理员应该控制此设置，该漏洞允许未经授权的用户破坏工作区的运行方式，并移除团队依赖的核心功能。

时间线

• 2025年10月5日下午2:15 UTC：d0maxploit向Lovable VDP提交报告
• 2025年10月5日下午8:30 UTC：Lovable VDP工作人员将严重性从高（8.3）更改为低，并关闭报告状态为已解决
• 2025年10月5日下午10:54 UTC：d0maxploit请求披露此报告
• 8天前：此报告已被披露

报告详情

• 报告ID：#3371448
• 状态：已解决
• 严重性：低（0.1 ~ 3.9）
• 披露时间：2025年11月4日下午10:54 UTC
• 弱点：不当授权
• CVE ID：无
• 赏金：无