Vulnérabilités de sécurité exposées dans l'application EdTech présentée par Lovable

✍️ OpenClawRadar📅 Publié: February 26, 2026🔗 Source
Vulnérabilités de sécurité exposées dans l'application EdTech présentée par Lovable
Ad

Un chercheur en sécurité a découvert de multiples vulnérabilités critiques dans une application EdTech présentée comme un succès sur la plateforme Lovable. Lovable est une plateforme de "vibe coding" valorisée à 6,6 milliards de dollars qui met en avant des applications construites avec ses outils.

Détails des vulnérabilités

Le chercheur a testé une application EdTech avec plus de 100 000 vues sur la vitrine de Lovable, utilisée par de vrais utilisateurs de UC Berkeley, UC Davis et d'écoles à travers l'Europe, l'Afrique et l'Asie. En quelques heures de test, il a trouvé :

  • 16 vulnérabilités de sécurité au total
  • 6 vulnérabilités critiques
  • Une logique d'authentification "littéralement inversée" — elle bloquait les utilisateurs connectés et laissait passer les anonymes
  • Le chercheur a décrit cela comme "du code généré par IA classique qui 'fonctionne' mais n'a jamais été revu"
Ad

Ce qui a été exposé

  • 18 697 enregistrements d'utilisateurs (noms, emails, rôles) — accessibles sans authentification
  • Suppression de compte via un simple appel API — aucune authentification requise
  • Notes d'étudiants modifiables — aucune authentification requise
  • Capacité d'envoi d'emails en masse — aucune authentification requise
  • Données d'organisations d'entreprise de 14 institutions

Réponse

Le chercheur a signalé les vulnérabilités à Lovable, qui a fermé le ticket de support sans traiter les problèmes.

📖 Lire la source complète : r/ClaudeAI

Ad

👀 See Also

Smart Bash Permission Hook for Claude Code Prevents Compound Command Bypass
Security

Smart Bash Permission Hook for Claude Code Prevents Compound Command Bypass

A Python PreToolUse hook addresses a security gap in Claude Code's permission system where compound bash commands could bypass allow/deny patterns. The script decomposes commands into sub-commands and checks each individually against existing permission rules.

OpenClawRadar
mcp-scan : Scanner de sécurité pour les configurations de serveur MCP
Security

mcp-scan : Scanner de sécurité pour les configurations de serveur MCP

mcp-scan vérifie les configurations des serveurs MCP pour détecter des problèmes de sécurité, notamment les secrets dans les fichiers de configuration, les vulnérabilités connues dans les packages, les modèles d'autorisations suspects, les vecteurs d'exfiltration et les attaques par empoisonnement d'outils. Il détecte automatiquement les configurations pour Claude Desktop, Cursor, VS Code, Windsurf et 6 autres clients d'IA.

OpenClawRadar
Sécurité OpenClaw : 13 étapes pratiques pour sécuriser votre agent IA
Security

Sécurité OpenClaw : 13 étapes pratiques pour sécuriser votre agent IA

Un post Reddit détaille 13 mesures de sécurité pour les installations OpenClaw, notamment l'exécution sur une machine séparée, l'utilisation de Tailscale pour l'isolation réseau, le confinement des sous-agents dans Docker et la configuration de listes d'autorisation pour l'accès des utilisateurs.

OpenClawRadar
Claude Code continue de journaliser les sessions après une révocation, un utilisateur signale un silence de 2 semaines du support
Security

Claude Code continue de journaliser les sessions après une révocation, un utilisateur signale un silence de 2 semaines du support

Un utilisateur de Claude Code signale que les journaux de session continuaient d'apparaître après avoir révoqué l'accès, le support d'Anthropic restant sans réponse pendant deux semaines. Les journaux incluaient des étendues comme user:file_upload, user:ccr_inference et user:sessions:claude_code.

OpenClawRadar