Kritikus sebezhetőség a Wix Vibe kódolási platformján

A Wix Vibe kódolási platformján egy komoly biztonsági rést fedeztek fel, amely lehetővé tette a támadók számára, hogy megkerüljék a hitelesítést és hozzáférjenek a privát vállalati alkalmazásokhoz. Ezt a felfedezést a Wiz nevű felhőbiztonsági cég tette, amely az alábbi eljárással tárt fel egy érzékeny azonosítószámot, az úgynevezett app_id-t. A probléma lényege, hogy ez az azonosítószám nyilvános elérhetőséggel rendelkezett, így a támadók könnyen hozzáférhettek különböző alkalmazásokhoz.

A hibás azonosítószámok nyilvános megjelenése

A Wix platformján az app_id számok a nyilvános URL-ekben és a manifest.json fájlokban is láthatóak voltak. Ez a nyilvános láthatóság lehetővé tette, hogy a támadók egyszerű lépésekkel, például a Swagger-UI nyílt forráskódú eszköz segítségével új fiókokat regisztráljanak, még akkor is, ha a felhasználói regisztráció le volt tiltva. Ezt követően a Single Sign-On (SSO) folyamata révén teljes hozzáférést nyertek a vállalati rendszerekhez, függetlenül attól, hogy az eredeti hozzáférés korlátozott volt.

A probléma súlyosságát fokozza, hogy az érintett alkalmazások, amelyek a Base44 Vibe platformra épültek, gyakran tartalmaztak személyes adatokat, például HR- és chatbot rendszereket. Ennek következtében a támadók hozzáférhettek érzékeny információkhoz, ami komoly adatvédelmi aggályokat vetett fel.

Gyors javítás és a jövőbeli kockázatok

A Wiz cég felfedezése után azonnal értesítette a Wix-et, amely 24 órán belül javította a hibát. A biztonsági cég jelentése szerint nem áll rendelkezésre bizonyíték arra, hogy a rést már kihasználták volna, azonban a felfedezés rávilágított arra, hogy a gyorsan fejlődő kódolási platformok, mint a Vibe, jelentős rendszerkockázatokat rejthetnek magukban.

A Wiz biztonsági jelentése kiemeli, hogy a Vibe platformok gyors ütemű fejlesztése mellett nem mindig foglalkoznak a biztonság kérdéseivel, ami széleskörű kockázatokat jelenthet az alkalmazások ökoszisztémája számára. A felfedezés egyszerűsége és az alacsony belépési küszöb azt jelenti, hogy a támadók viszonylag könnyen kihasználhatják a biztonsági réseket.

Wix álláspontja a biztonsági kérdésekről

A Wix cég reagálásában hangsúlyozta, hogy proaktívan foglalkozik a biztonsággal, és folyamatosan invesztál a termékeik biztonságának erősítésébe. Mindezek ellenére a Wiz jelentése felveti a kérdést: ha a felfedezés ilyen egyszerű volt, akkor miért nem találták meg korábban a biztonsági auditok során a nyilvánosan elérhető app_id számokat? A manifest.json fájlok megjelenése nyilvánvalóan egyszerűen észlelhető, így a Wix biztonsági intézkedéseinek hatékonysága is megkérdőjelezhető.

A felfedezés rávilágít arra, hogy a biztonsági auditok alaposabb végrehajtása elengedhetetlen, különösen olyan dinamikus környezetekben, ahol a fejlesztési ütem gyors ütemű.

Mit mond Császár Viktor a helyzetről?

Megkérdeztük Császár Viktor SEO szakértőt, hogy kommentálja ezt a hírt. Viktor elmondta: „Ez a felfedezés nemcsak a Wix számára, hanem az egész iparág számára figyelmeztetés kell, hogy legyen. A biztonsági hiányosságok könnyen hozzáférhetővé teszik a vállalati rendszereket, és ez nemcsak a cégek hírnevét, hanem az ügyfeleik bizalmát is veszélyezteti. A modern webes platformok fejlesztése során a biztonság nem lehet másodlagos szempont. Bízom benne, hogy a Wix lépései után más cégek is komolyan veszik a biztonsági auditok fontosságát.”

További információkért látogasson el Császár Viktor weboldalára: csaszarviktor.hu.

Forrás: SearchEngineJournal.com