CVE-2025-48757

Nome do Software Vulnerável e Versões Afetadas Lovable versões anteriores a 2025-04-15

Description Uma política de Segurança em Nível de Linha (RLS) de banco de dados insuficiente permite que atacantes remotos não autenticados leiam ou gravem em tabelas de banco de dados arbitrárias de sites gerados. A Segurança em Nível de Linha é um recurso de banco de dados que restringe quais linhas de dados um usuário pode acessar com base em sua identidade ou função. Neste caso, a RLS ausente ou mal configurada em bancos de dados Supabase usados por aplicativos gerados por IA frequentemente expõe dados publicamente por padrão.

Incidentes do mundo real incluem a exposição de mais de 170 aplicativos criados por usuários, a exposição de 18.697 registros de estudantes devido a uma verificação de autenticação invertida e a exposição de 303 endpoints inseguros.

Recommendations Para versões anteriores a 2025-04-15, os desenvolvedores devem revisar e proteger as políticas de Segurança em Nível de Linha de seus bancos de dados Supabase para garantir que os dados não sejam expostos publicamente.

Como mitigação temporária, restrinja o acesso às tabelas do banco de dados e garanta que a RLS esteja explicitamente habilitada para todas as tabelas que contenham dados sensíveis de usuários.