网络安全研究人员披露,AI 编程平台 Base44 存在一个现已修复的严重安全漏洞,该漏洞允许未经授权的访问。
云安全公司 Wiz 在研究中发现,攻击者只需向未记录的注册和电子邮件验证端点提供非秘密的 app_id 值,就可以绕过所有身份验证控制(包括单点登录 SSO),从而访问用户构建的私人应用程序及其可能包含的敏感数据。
该漏洞的影响范围较广,许多企业利用 Base44 平台构建内部聊天机器人、知识库、处理个人信息和人力资源运营等,这些敏感数据都可能被未经授权的攻击者访问。不过,Wix(Base44 的母公司)在接到 Wiz 的报告后,迅速在 24 小时内修复了漏洞,并确认没有证据表明该漏洞在过去被利用。
目前,该漏洞已被完全修复,使用 Base44 平台的用户无需采取额外措施。不过,组织可以查看 Base44 应用设置中的数据分析部分,以检查在漏洞存在期间是否有异常的用户访问和注册。
暂无更多评论