Sicherheitslücken in der von Lovable präsentierten EdTech-App aufgedeckt

Ein Sicherheitsforscher entdeckte mehrere kritische Schwachstellen in einer EdTech-Anwendung, die auf der Lovable-Plattform als Erfolgsgeschichte vorgestellt wurde. Lovable ist eine 6,6 Milliarden Dollar schwere "Vibe-Coding"-Plattform, die mit ihren Tools erstellte Apps präsentiert.

Details zu den Schwachstellen

Der Forscher testete eine EdTech-App mit über 100.000 Aufrufen auf Lovables Showcase, die echte Nutzer von UC Berkeley, UC Davis und Schulen in Europa, Afrika und Asien hatte. In wenigen Stunden Testzeit fand er:

• Insgesamt 16 Sicherheitsschwachstellen
• 6 kritische Schwachstellen
• Eine Authentifizierungslogik, die "buchstäblich verkehrt herum" war – sie blockierte angemeldete Nutzer und ließ anonyme durch
• Der Forscher beschrieb dies als "klassischen KI-generierten Code, der 'funktioniert', aber nie überprüft wurde"

Was offengelegt wurde

• 18.697 Nutzerdatensätze (Namen, E-Mails, Rollen) – zugänglich ohne Authentifizierung
• Kontolöschung über einen einzigen API-Aufruf – keine Authentifizierung erforderlich
• Änderbare Schülernoten – keine Authentifizierung erforderlich
• Massen-E-Mail-Versandfunktion – keine Authentifizierung erforderlich
• Unternehmensorganisationsdaten von 14 Institutionen

Reaktion

Der Forscher meldete die Schwachstellen an Lovable, die das Support-Ticket schlossen, ohne die Probleme zu beheben.