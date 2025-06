CVE-2025-48757 https://mattpalmer.io/posts/CVE-2025-48757/ The hottest new vibe coding startup Lovable is a sitting duck for hackers | Semafor https://www.semafor.com/article/05/29/2025/the-hottest-new-vibe-coding-startup-lovable-is-a-sitting-duck-for-hackers 開発者のマット・パーマー氏が明らかにしたのは、Lovableが「 行レベルセキュリティ(RLS) 」という基本的なセキュリティ設定を実装できないことがあるという脆弱(ぜいじゃく)性でした。これにより、Lovableで構築したアプリから機密性の高いユーザーデータが漏えいし、攻撃者が悪意のあるデータをアプリに挿入する可能性があるとのことです。 パーマー氏が最初にこの脆弱性を発見したのは「 Linkable 」というサイトです。LinkableはLovableで構築されたサイトで、2ドル(約300円)支払って自分のLinkedInプロフィールのURLを入力すれば自分のウェブサイトを作成できるというサービスでした。パーマー氏によると、Lovableの設計にミスがあり、ウェブサイトのデータベース構築に利用していたSupabaseという外部のサービスをうまく制御できておらず、Linkableを利用した約500人分のメールアドレスが誰でも閲覧できる状態にあったといいます。

2025年06月02日 12時10分00秒 in ウェブアプリ, セキュリティ, Posted by log1p_kr

