کشف باگ حیاتی دورزدن کنترل دسترسی در پلتفرم کدنویسی AI محور Base44

آسیب‌پذیری Base44 که توسط Wiz کشف شد، به دلیل نقص در کنترل endpoint های ثبت‌نام و تایید OTP محقق شد؛ با استفاده از app_id عمومی، یک مهاجم می‌توانست بدون طی مراحل احراز هویت به برنامه‌های خصوصی کاربران دسترسی پیدا کند. پس از گزارش در تاریخ ۹ جولای ۲۰۲۵، پلتفرم ظرف ۲۴ ساعت وصله امنیتی منتشر کرد و هیچ نشانه‌ای از سوءاستفاده واقعی گزارش نشده است.

Wiz، شرکت امنیت ابری، در ۲۹ ژوئیه ۲۰۲۵ اعلام کرد که نقصی را در پلتفرم کدنویسی AI به نام Base44 کشف کرده است که می‌توانست منجر به دورزدن کامل کنترل دسترسی شود. برای ثبت‌نام و تایید کاربر، دو endpoint وجود داشت: api/apps/{app_id}/auth/register و api/apps/{app_id}/auth/verify-otp که بر اساس app_id عمل می‌کردند.

مشکل اینجا بود که app_id نیازی به راز یا توکن خاص نداشت و در URLها و فایل manifest.json اپ قابل مشاهده بود. مهاجم‌ها می‌توانستند با شناخته‌شدن app_id، به‌سادگی با وارد کردن ایمیل/پسورد، یک حساب تأییدشده جدید بسازند و از OTP استفاده کنند تا به اپ وارد شوند—حتی اگر متعلق به آنها نبود.

با تأیید Email و ورود از طریق SSO، کاربر مخرب به‌صورت کامل به اپ‌های خصوصی و داده‌های درون آن‌ها دسترسی پیدا می‌کرد. این نقص تمام مکانیسم‌های احراز هویت و SSO را بی‌اثر می‌کرد.

پس از گزارش این آسیب‌پذیری به‌صورت مسئولانه در تاریخ ۹ ژوئیه ۲۰۲۵، مالک Base44 (شرکت Wix) در کمتر از ۲۴ ساعت اقدام به ایجاد وصله امنیتی کرد. Wiz اعلام کرد که هیچ مدرکی از سوءاستفاده واقعی و حمله در محیط کاربر نداشته است.

این اتفاق هشدار مهمی به توسعه‌دهندگان و کاربران ابزارهای AI محور بود: مکانیزم‌های امنیتی سنتی ممکن است برای محافظت از اپلیکیشن‌های جدید کافی نباشند، به‌ویژه در سناریوهایی مانند vibe coding که APIها و endpointهای جدید تعریف می‌شوند.

منبع : https://thehackernews.com/2025/07/wiz-uncovers-critical-access-bypass.html