Lovable AI权限漏洞分析:低权限用户可操控工作区AI设置

本文详细分析了Lovable平台存在的权限漏洞,低权限用户可通过特定API端点擅自启用或禁用工作区中新项目的AI功能,涉及具体的漏洞复现步骤和影响评估。

Lovable VDP | 报告 #3369843 - 低权限用户可启用或禁用工作区中新项目的Lovable AI

漏洞概述

在lovable.dev平台上,低权限用户能够启用或禁用工作区中新项目的Lovable AI功能。测试发现存在授权不当漏洞,允许低权限用户修改Lovable AI设置。

复现步骤

  1. 获取在自己工作区中启用和禁用Lovable AI的端点
  2. 在另一个工作区中使用低权限角色重放该端点

技术细节 

1
2
3
4
5
6
7
8

<!-- 启用 -->
DELETE /workspaces/<workspace_id>/tool-preferences/ai_gateway/enable

<!-- 禁用 -->
POST /workspaces/<workspace_id>/tool-preferences/ai_gateway/enable
{
  "approval_preference":"disable"
}

验证材料

  • 已提供视频POC演示此漏洞
  • 日志审查标识:X-Hackerone-Research: anxioussick

影响评估

未经授权启用或禁用工作区中新项目的Lovable AI功能

处理时间线

  • 2025年10月3日:漏洞提交
  • 2025年10月5日:状态更改为"已处理",严重性从高(8.8)调整为低
  • 2025年10月5日:报告状态更改为"已解决"
  • 2025年10月8日:请求公开报告
  • 2025年11月7日:报告已公开

漏洞信息

  • 报告ID:#3369843
  • 状态:已解决
  • 严重程度:低 (0.1 ~ 3.9)
  • 弱点类型:授权不当
  • CVE ID:无
  • 赏金:隐藏
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次