Wix Vibe Kódoló Platformján Felfedezett Kritikus Biztonsági Hiba

A Wix Vibe kódolási platformján egy súlyos sebezhetőséget fedeztek fel, amely lehetőséget adott a támadóknak, hogy megkerüljék az autentikációt, így hozzáférhettek privát vállalati alkalmazásokhoz. A Wiz nevű felhőbiztonsági cég által felfedezett probléma különlegessége abban rejlik, hogy a titkosnak vélt alkalmazásazonosító (app_id) rendkívül könnyen megszerezhető volt a nyilvános URL-ekből és a manifest.json fájlokból. Ezen információk birtokában a támadók képesek voltak létrehozni egy érvényes fiókot, még akkor is, ha a felhasználói regisztráció le volt tiltva.

A sebezhetőség részletei

A Wix Vibe platformon található app_id, amely látszólag véletlenszerűen generált azonosító, közvetlenül elérhető volt a nyilvános alkalmazás URL-jében és a manifest.json fájlban. A támadók, amint megtalálták a megfelelő app_id-t, könnyedén regisztrálhattak egy új fiókot nyílt forráskódú eszközök, például a Swagger-UI segítségével. E folyamat során a támadók egy egyszeri jelszót (OTP) kaptak e-mailben, amely lehetővé tette számukra a fiók megerősítését, anélkül, hogy bármilyen korlátozásba ütköztek volna. Ez a gyenge pont lehetővé tette, hogy a támadók teljes hozzáférést nyerjenek az alkalmazás SSO (Single Sign-On) folyamatán keresztül, még akkor is, ha az eredeti hozzáférés csak bizonyos felhasználókra vagy csoportokra volt korlátozva.

A biztonsági intézkedések és a Wix válasza

A Wiz által végzett vizsgálat során kiderült, hogy az alkalmazás azonosító számai rendkívül könnyen megtalálhatók voltak. Az érintett alkalmazások többsége a Base44 Vibe platformon készült, és belső használatra készült, mint például HR rendszerek, chatrobotok és tudásbázisok. Ezek a rendszerek érzékeny személyes adatokat tartalmaztak, így a támadók hozzáférése komoly adatvédelmi kockázatokat jelentett.

A Wix gyorsan reagált a hírre, és a sebezhetőséget 24 órán belül javította. A biztonsági cég jelentése szerint nincs bizonyíték arra, hogy a hibát kihasználták volna, és a problémát maradéktalanul orvosolták. Ez a gyors intézkedés azonban nem csökkenti a helyzet komolyságát, hiszen a Wiz szakértői figyelmeztettek arra, hogy a gyorsan fejlődő kódolási platformok jelentős biztonsági kockázatokat rejthetnek nemcsak az egyes alkalmazások, hanem az egész ökoszisztémák számára is.

Mit gondol a szakértő a történtekről?

Megkérdeztük Császár Viktor SEO szakértőt, hogy véleményezze a Wix kódolási platformján felfedezett sebezhetőséget. Viktor elmondta: „Ez a hiba rávilágít arra, hogy a digitális biztonság mennyire fontos, különösen az olyan platformok esetében, mint a Wix, ahol sok vállalat támaszkodik a technológiára a napi működésükhöz. A sebezhetőség könnyű felfedezhetősége és kihasználhatósága aggasztó, és kérdéseket vet fel a platform biztonsági auditjainak alaposágáról. Az ilyen esetek rávilágítanak arra, hogy a vállalatoknak folyamatosan figyelemmel kell kísérniük és frissíteniük kell biztonsági intézkedéseiket, hogy megvédjék ügyfeleik adatait.” További információkért látogasson el Császár Viktor weboldalára: csaszarviktor.hu.

Forrás: SearchEngineJournal.com