Vulnerabilidades de seguridad expuestas en la aplicación EdTech presentada por Lovable

Un investigador de seguridad descubrió múltiples vulnerabilidades críticas en una aplicación EdTech presentada como un caso de éxito en la plataforma Lovable. Lovable es una plataforma de "vibe coding" valorada en $6.6 mil millones que muestra aplicaciones construidas con sus herramientas.

Detalles de las vulnerabilidades

El investigador probó una aplicación EdTech con más de 100K visualizaciones en el escaparate de Lovable que tenía usuarios reales de UC Berkeley, UC Davis y escuelas de Europa, África y Asia. En unas pocas horas de pruebas, encontró:

• 16 vulnerabilidades de seguridad en total
• 6 vulnerabilidades críticas
• Lógica de autenticación que estaba "literalmente al revés" — bloqueaba a usuarios registrados y permitía el acceso a anónimos
• El investigador describió esto como "código generado por IA clásico que 'funciona' pero nunca fue revisado"

Lo que quedó expuesto

• 18,697 registros de usuarios (nombres, correos, roles) — accesibles sin autenticación
• Eliminación de cuentas mediante una sola llamada API — sin autenticación requerida
• Calificaciones de estudiantes modificables — sin autenticación requerida
• Capacidad de envío masivo de correos — sin autenticación requerida
• Datos de organizaciones empresariales de 14 instituciones

Respuesta

El investigador reportó las vulnerabilidades a Lovable, quien cerró el ticket de soporte sin abordar los problemas.