Lovable AI权限绕过漏洞分析:低权限用户可操控工作区AI设置

本文详细分析了Lovable平台存在的权限验证漏洞,低权限用户可越权启用或禁用工作区中新建项目的AI功能,包含复现步骤、API端点和影响评估。

Lovable VDP | 报告 #3369843 - 低权限用户可启用或禁用工作区中新建项目的Lovable AI功能

漏洞概述

在lovable.dev平台中,低权限用户能够越权启用或禁用工作区中新建项目的Lovable AI功能。测试过程中发现了授权不当漏洞,允许低权限用户修改Lovable AI设置。

复现步骤

  1. 获取在自己工作区中启用和禁用Lovable AI功能的端点
  2. 在另一个工作区中以低权限角色重放该端点

技术细节 

1
2
3
4
5
6
7
8

<!-- 启用 -->
DELETE /workspaces/<workspace_id>/tool-preferences/ai_gateway/enable

<!-- 禁用 -->
POST /workspaces/<workspace_id>/tool-preferences/ai_gateway/enable
{
  "approval_preference":"disable"
}

验证材料

  • 提供了视频PoC证明漏洞存在
  • 视频文件:bac_lovable_AI.mp4 (62.42 MiB)

影响评估

未经授权启用或禁用工作区中新建项目的Lovable AI功能

处理时间线

  • 2025年10月3日:漏洞提交
  • 2025年10月5日:状态更新为"已处理"
  • 2025年10月5日:严重性从高(8.8)调整为低
  • 2025年10月5日:报告关闭,状态标记为"已解决"
  • 2025年10月8日:请求公开报告
  • 2025年11月7日:报告已公开

漏洞信息

  • 报告ID:#3369843
  • 弱点类型:授权不当
  • 严重程度:低 (0.1 ~ 3.9)
  • CVE ID:无
  • 赏金:隐藏
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次