Sécurité

Vulnérabilités de sécurité exposées dans l'application EdTech présentée par Lovable

✍️ OpenClawRadar📅 Publié: February 26, 2026🔗 Source
Vulnérabilités de sécurité exposées dans l'application EdTech présentée par Lovable
Ad

Un chercheur en sécurité a découvert de multiples vulnérabilités critiques dans une application EdTech présentée comme un succès sur la plateforme Lovable. Lovable est une plateforme de "vibe coding" valorisée à 6,6 milliards de dollars qui met en avant des applications construites avec ses outils.

Détails des vulnérabilités

Le chercheur a testé une application EdTech avec plus de 100 000 vues sur la vitrine de Lovable, utilisée par de vrais utilisateurs de UC Berkeley, UC Davis et d'écoles à travers l'Europe, l'Afrique et l'Asie. En quelques heures de test, il a trouvé :

  • 16 vulnérabilités de sécurité au total
  • 6 vulnérabilités critiques
  • Une logique d'authentification "littéralement inversée" — elle bloquait les utilisateurs connectés et laissait passer les anonymes
  • Le chercheur a décrit cela comme "du code généré par IA classique qui 'fonctionne' mais n'a jamais été revu"
Ad

Ce qui a été exposé

  • 18 697 enregistrements d'utilisateurs (noms, emails, rôles) — accessibles sans authentification
  • Suppression de compte via un simple appel API — aucune authentification requise
  • Notes d'étudiants modifiables — aucune authentification requise
  • Capacité d'envoi d'emails en masse — aucune authentification requise
  • Données d'organisations d'entreprise de 14 institutions

Réponse

Le chercheur a signalé les vulnérabilités à Lovable, qui a fermé le ticket de support sans traiter les problèmes.

📖 Lire la source complète : r/ClaudeAI

Ad

👀 See Also

Clawndom : Un crochet de sécurité pour Claude Code pour bloquer les paquets npm vulnérables
Security

Clawndom : Un crochet de sécurité pour Claude Code pour bloquer les paquets npm vulnérables

Un développeur a créé Clawndom, un crochet open-source pour Claude Code qui vérifie les packages npm dans la base de données de vulnérabilités OSV.dev avant l'installation, bloquant les packages vulnérables connus tout en préservant l'autonomie de l'agent.

OpenClawRadar
L'analyse de sécurité révèle une vulnérabilité de haute gravité dans l'outil de recherche de compétences de l'agent IA.
Security

L'analyse de sécurité révèle une vulnérabilité de haute gravité dans l'outil de recherche de compétences de l'agent IA.

Un développeur effectuant une analyse de sécurité sur sa configuration d'agent IA a découvert une vulnérabilité de haute gravité dans l'outil find-skills qu'il utilisait pour installer des compétences supplémentaires, soulevant des inquiétudes quant à la sécurité de l'écosystème.

OpenClawRadar
Outil de Pentest MCPwner AI Découvre Plusieurs Vulnérabilités 0-Day dans OpenClaw
Security

Outil de Pentest MCPwner AI Découvre Plusieurs Vulnérabilités 0-Day dans OpenClaw

MCPwner, un serveur MCP qui orchestre des agents d'IA pour des tests de pénétration automatisés, a identifié plusieurs vulnérabilités critiques de type 0-day dans OpenClaw, notamment des injections de variables d'environnement, des contournements de permissions et des failles de divulgation d'informations que les scanners standards ont manquées.

OpenClawRadar
Claude Code continue de journaliser les sessions après une révocation, un utilisateur signale un silence de 2 semaines du support
Security

Claude Code continue de journaliser les sessions après une révocation, un utilisateur signale un silence de 2 semaines du support

Un utilisateur de Claude Code signale que les journaux de session continuaient d'apparaître après avoir révoqué l'accès, le support d'Anthropic restant sans réponse pendant deux semaines. Les journaux incluaient des étendues comme user:file_upload, user:ccr_inference et user:sessions:claude_code.

OpenClawRadar