Base44は、AI を活用して、すべての人が数分で本格的なアプリを制作できるプラットフォームです。
思い描いたアイデアを入力するだけで、個人向けの生産性向上アプリから業務用ツール、顧客ポータル、さらにはエンタープライズレベルのアプリまで、あらゆる機能を備えたアプリを自動で生成できます。
人気のバイブコーディングプラットフォームです。
このBase44に脆弱性が確認されています。
- 認証回避
バイブコーディングを利用する場合、アカウントを作成し、APIキーを取得し、それを使って設定を実施して利用を開始します。
バイブコーディングを利用するなかで、手元環境とバイブコーディングを提供するサービスとの間でいくつものAPIが動作します。
これらのAPIのなかの2つの認証関連のエンドポイントが、制限なく公開されたままになってしまっていました。
これにより、誰でも「app_id」値のみを入力としてプライベートアプリケーションに登録できる状態になっていました。
「app_id」はAPIキーなどと違って、アプリのURLなどで特別な手段を利用することなく確認できるものです。
この入手が困難ではないapp_idを知るだけで、新規アカウントを登録するだけでなく、OTPによるメールアドレスの認証も可能となり、本来は所有者ではないアプリケーションへのアクセスも可能になってしまうのです。
これは、この脆弱性により、Base44でホストされているプライベートアプリケーションに無許可でアクセスできる状態になったことを意味します。
そして、その無許可でアクセスできてしまったプライベートだったアプリケーションに含まれていた可能性のある機密データへのフルアクセスが許可されてしまうのです。
便利な機構は多数存在します。
そして、それらの便利な機構は複雑に絡み合いながら、それぞれが妥当であることを前提に安全状態を構築します。
そのほんの小さな一部分の前提が壊れることで、全体の安全性は失われてしまいます。
これはこの例に限ったことではありません。
「蟻の一穴、天下の破れ」です。
注意してもしすぎるということはありません。
Wiz Research Uncovers Critical Vulnerability in AI Vibe Coding platform Base44 Allowing Unauthorized Access to Private Applications
https://www.wiz.io/blog/critical-vulnerability-base44
| この記事をシェア |
|
|---|
表紙.png)
