Bericht: Beliebte KI-App-Builder legen Daten von Tausenden Projekten durch API-Schwachstelle offen

Eine kritische Broken Object Level Authorization (BOLA)-Schwachstelle in Lovable, der beliebten AI-gestützten App-Builder-Plattform, soll es unbefugten Benutzern ermöglichen, sensible Projektdaten, einschließlich Quellco Eine kritische Broken Object Level Authorization (BOLA)-Schwachstelle in Lovable, der beliebten AI-gestützten App-Builder-Plattform, soll es unbefugten Benutzern ermöglichen, sensible Projektdaten, einschließlich Quellcode, Datenbankanmeldeinformationen, AI-Chat-Verläufe und echte Kundeninformationen aus Tausenden von Projekten, die vor November 2025 erstellt wurden, abzurufen.

Der Fehler, der als Broken Object Level Authorization-Problem eingestuft wird, ermöglicht es jedem Inhaber eines kostenlosen Lovable-Kontos, nicht authentifizierte API-Aufrufe an das Backend der Plattform zu tätigen und Projektdaten anderer Benutzer abzurufen.

BOLA-Schwachstellen treten auf, wenn eine API den Zugriff auf Objekte gewährt, ohne zu überprüfen, ob der anfragende Benutzer diese tatsächlich besitzt oder die Berechtigung hat, sie einzusehen. Diese Klasse von Fehlern wird in der OWASP API Security Top 10 wegen ihrer Verbreitung und Leichtigkeit der Ausnutzung auf Platz 1 eingestuft.

Einem Forscher mit dem Handle @weezerOSINT zufolge gibt der API-Endpunkt https://api.lovable.dev/GetProjectMessagesOutputBody anscheinend vollständige Projektnachrichtenverläufe, KI-Denkprotokolle und Tool-Nutzungsaufzeichnungen zurück, ohne angemessene objektbasierte Zugriffskontrollen durchzusetzen.

Die offengelegten JSON-Antworten enthalten Benutzer-IDs, Sitzungsinhalte und interne KI-Denkketten, die niemals öffentlich zugänglich sein sollten.

Die Schwachstelle wurde Lovable über HackerOne vor der öffentlichen Offenlegung vor etwa 48 Tagen gemeldet, soll aber Berichten zufolge für Projekte, die vor November 2025 erstellt wurden, immer noch ungepatcht sein.