Lovable یک ابزار توسعه بدون کدنویسی است که به کاربران اجازه میدهد بدون نیاز به دانش برنامهنویسی، انواع برنامههای کاربردی تحت وب را ایجاد کنند. اخیراً آسیبپذیری بحرانی با شناسهی CVE-2025-48757 و شدت 9.3 در Lovable شناسایی شده است. این نقص امنیتی به مهاجم اجازه میدهد بدون احراز هویت، به جداول پایگاه داده پروژهها دسترسی خواندن یا نوشتن پیدا کند.
جزئیات آسیبپذیری
RLS یک مکانیزم کنترلی در سطح پایگاه داده است که امکان میدهد هر کاربر فقط به ردیفهایی از جدول که مجاز است دسترسی داشته باشد. در پیادهسازی RLS در پایگاه دادههایی که توسط پلتفرم Lovable ایجاد میشود، به دلیل نبود یا نادرستی در تعریف سیاستهای RLS، مهاجم میتواند بهصورت مستقیم و بدون احراز هویت به جداول پایگاهداده پروژهها دسترسی پیدا کند. این جداول معمولاً حاوی اطلاعات کاربران نهایی، تنظیمات برنامه یا دادههای حساس هستند.
بردار CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N نشان میدهد بهرهبرداری از این نقص نیازی به احراز هویت یا تعامل کاربر ندارد و بهراحتی از راه دور قابل انجام است. پیچیدگی حمله بسیار پایین بوده و مهاجم میتواند تنها با ارسال درخواستهای خاص، به اطلاعات حساس دست یابد.
نسخههای تحت تأثیر
- تمام پروژهها و برنامههایی که تا تاریخ 2025-04-15 با Lovable ایجاد شدهاند تحت تأثیر این آسیبپذیری قرار دارند.
توصیههای امنیتی
- ارتقا به نسخهای امن در صورت انتشار وصله برای این آسیبپذیری توسط Lovable
- در تمامی جداول مهم پایگاه دادهها، سیاستهای RLS فعال و مبتنی بر هویت کاربر پیادهسازی شود.
- دسترسی مستقیم به پایگاه داده صرفاً به سامانهها و سرویسهای داخلی معتبر محدود شود تا از هرگونه دسترسی غیرمجاز جلوگیری گردد.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2025-48757
- 29