预警！Wix Base44平台现高危漏洞！企业数据恐遭泄露？

云安全公司Wiz于2025年第二季度发现，Wix的Base44 vibe编码平台存在一个严重漏洞，攻击者可利用该漏洞绕过身份验证，并访问私有企业应用程序。这一发现突显了企业在快速开发环境中面临的安全挑战。

漏洞详情：敏感ID暴露

Wiz的报告指出，一个名为“app_id”的识别号码，原本应作为秘密信息，却以公开方式嵌入到应用程序的URL和manifest.json文件等路径中。这个app_id是一个看似随机生成的识别号码。即使禁用了用户注册，攻击者也能够利用该信息生成经过验证的账户，从而绕过包括单点登录（SSO）在内的平台访问控制。许多组织使用SSO来增强企业安全性。

Wiz安全报告详细描述了发现敏感app_id的过程：“当访问任何基于Base44开发的应用程序时，app_id会立即显示在URI和manifest.json文件路径中。所有应用程序的app_id值都硬编码在其manifest路径中：manifests/{app_id}/manifest.json。”

攻击过程：相对简单

该漏洞的利用并不需要特权访问或深入的技术知识。一旦攻击者识别出一个有效的app_id，他们就可以使用诸如开源Swagger-UI之类的工具来注册新账户，并通过电子邮件接收一次性密码（OTP），并在不受限制的情况下验证该账户。

通过应用程序的SSO流程登录后，攻击者可以完全访问内部系统，尽管最初的访问权限仅限于特定用户或团队。这一过程暴露了平台在app_id不会被篡改或在外部重复使用这一假设上的严重缺陷。

数据泄露风险：暴露敏感数据

许多受影响的应用程序是使用流行的Base44 vibe编码平台构建的，供内部使用，支持诸如人力资源、聊天机器人和知识库等运营。这些系统包含个人身份信息（PII），并用于人力资源操作。

利用该漏洞，攻击者可以绕过身份控制并访问私有企业应用程序，从而可能暴露敏感数据。

Wix的应对：迅速修复

云安全公司Wiz通过系统地检查公开信息中潜在的薄弱环节，最终发现了暴露的app_id号码，并由此创建了生成账户访问权限的工作流程。

Wiz随后联系了Wix，后者立即修复了该问题。根据该安全公司发布的报告，没有证据表明该漏洞已被利用，并且该漏洞已得到完全解决。

安全公司的观点：生态系统面临威胁

Wiz安全报告指出，vibe编码的实践正在快速发展，但没有足够的时间来解决潜在的安全问题，并表示这不仅对单个应用程序，而且对“整个生态系统”造成“系统性风险”。

事件反思：安全措施的有效性

Wix在一份声明中表示，他们对安全问题持积极态度：“我们将继续大力投资，以加强所有产品的安全性，并主动管理潜在的漏洞。我们将继续致力于保护我们的用户及其数据。”

然而，Wiz的报告称，该漏洞的发现相对简单，他们使用了“直接的侦察技术”，包括“被动和主动的子域名发现”，这些都是广泛可用的方法。

该安全报告解释说，利用该漏洞很简单：“使该漏洞特别令人担忧的是它的简单性——只需要基本的API知识即可利用。这种低门槛意味着攻击者可以以最小的技术复杂度系统地破坏整个平台上的多个应用程序。”

新媒网跨境认为，该报告的出现本身就引发了人们的担忧，如果发现问题是“直接的”，并且利用它的“门槛很低”，那么Wix是如何做到积极主动的，而又没有发现这个问题呢？如果他们使用了第三方安全测试公司，为什么他们没有发现公开可用的app_id号码？manifest.json的暴露很容易被检测到，为什么安全审计没有标记出来？

简单地发现/利用过程与Wix声称的积极主动的安全姿态之间的矛盾，让人有理由怀疑他们积极主动的措施的彻底性或有效性。

经验教训：