#AI News #AI Security #Vibe Coding 30 Jul. 2025 (Click here to view the English version)

تم الكشف عن ثغرة أمنية في Base44: مفتاح إداري مبرمج مسبقًا يعرض جميع التطبيقات للخطر

By Frozen Light Team

في 29 يوليو 2025، كشفت شركة Wiz Research عن وجود خلل أمني كبير في Base44، وهي منصة الترميز السريع النمو المملوكة لشركة Wix.

سمحت هذه الثغرة للمهاجمين بتجاوز المصادقة والوصول إلى التطبيقات والبيانات الخاصة، ببساطة باستخدام معرف تطبيق عام. ووصفها ويز بأنها "سهلة الاستغلال بشكل ملحوظ".

تم إصلاح المشكلة خلال 24 ساعة، ولم يظهر أي دليل على إساءة الاستخدام في العالم الحقيقي.

ماذا يقول ويز

وصفت شركة Wiz الثغرة الأمنية في Base44 بأنها حرجة، وسهلة الاستغلال، وذات تأثير بالغ. وأكدت أن هذه الثغرة سمحت بالوصول غير المصرح به إلى التطبيقات الخاصة باستخدام مُعرّف عام فقط - بدون كلمة مرور، وبدون أسرار.

بكلماتهم الخاصة:

كان استغلال هذه الثغرة الأمنية التي اكتشفناها سهلاً للغاية، إذ سمحت لأي شخص بالتسجيل في تطبيق باستخدام معرف تطبيق غير سري فقط. دون الحاجة إلى كلمة مرور أو سر أو أي تحقق.

"لقد أبلغنا Wix بالمشكلة... وفي غضون 24 ساعة، تم نشر الإصلاح."

وأشادت Wiz بـ Wix لاستجابتها السريعة ومعالجتها المسؤولة للإفصاح.

ماذا يعني ذلك (بالكلمات البشرية)

اكتشف باحثو Wiz ثغرة أمنية خطيرة في Base44 تُمكّن المهاجمين من الوصول إلى تطبيقات المستخدمين بسهولة، وذلك لأن الجميع استخدموا نفس المفتاح غير المشفر. وقد ظهر هذا المفتاح في عناوين URL للتطبيقات، مما أتاح لأي شخص:

استخدم المفتاح لتسجيل الحساب والتحقق منه
إنشاء أنفسهم كمسؤولين على تطبيق أي مستخدم
تجاوز جميع حماية كلمة المرور وSSO

لا حاجة للاختراق. لا حاجة لكلمات مرور. مفتاح واحد يفتح آلاف التطبيقات.

وصفت Wiz المشكلة بأنها تجاوز للمصادقة، وقالت إن المشكلة "سهلة الاستغلال بشكل صادم" في جميع أنحاء المنصة. أبلغت الشركة Base44 (المملوكة لـ Wix)، وتم تفعيل الإصلاح في أقل من 24 ساعة. كما أكدت Wiz عدم رصد أي ضرر للعملاء حتى الآن.

خلاصة القول:

كانت المشكلة في نهاية Base44 - كانت عبارة عن خلل في تصميم الأمان على مستوى النظام الأساسي.

استخدمت Base44 نفس المفتاح الثابت غير المشفر لجميع تطبيقات العملاء المبنية على المنصة.
سمح هذا المفتاح بالوصول على مستوى المسؤول، ولم يكن محميًا بشكل صحيح.

لذا لا - لم يرتكب المستخدمون الفرديون أو المطورون الذين استخدموا Base44 أي خطأ.
ولكن لأن المفتاح كان مشتركًا عبر المنصة بأكملها، فإن أي شخص يعرف كيفية استغلاله يمكنه الحصول على التحكم الإداري في أي تطبيق تم إنشاؤه باستخدام Base44 - دون الحاجة إلى استهداف مستخدم أو حساب معين.

وهذا يجعل من هذه الثغرة ثغرة على مستوى واسع النطاق، متجذرة في كيفية تصميم النظام - وليس كيفية استخدامه.

ما عليك فعله للبقاء آمنًا؟ لا شيء تقريبًا

اعتبارًا من يوليو 2025، لم يعد هناك حاجة إلى أي إجراء من جانب مستخدمي Base44، فقد قاموا بإصلاح المشكلة على مستوى النظام الأساسي.

ومع ذلك، إليك ما نوصي بفعله لتكون أكثر ثقة:

📝 تحقق من لوحة معلومات تحليلات Base44 الخاصة بك - ابحث عن أي زيارات أو تسجيلات غير عادية للمستخدمين في التطبيقات الخاصة التي أنشأتها قبل 9 يوليو 2025
🔍 راقب سجلات الوصول والأنماط - على سبيل المثال، ابحث عن حسابات إدارية جديدة أو تسجيلات لم تمر عبر فريقك. wiz.io
🚨 تمكين مراقبة المنصة أو التنبيهات - إذا كان لديك Wiz أو أداة أمان سحابية أخرى، فاستخدمها لتحديد عمليات تسجيل أو وصول تطبيقات Base44 غير المتوقعة.

✅ ملخص

حالة الإصلاح: مُنجز. تم إصدار التصحيح بواسطة Base44/Wix خلال ٢٤ ساعة، دون الحاجة إلى أي تدخل من المستخدم.
ما يمكنك فعله أيضًا: مراجعة التحليلات والسجلات من قبل 9 يوليو لتحديد أي نشاط غريب.
أهمية ذلك: حتى لو لم يحدث شيء، يجب عليك قياس التعرض من خلال سجلات التدقيق وإنشاء رؤية أفضل في المرة القادمة.

افعل ذلك - متابعة العلامات

هل أنت قلق بشأن إمكانية تعرض أدواتك المفضلة للخطر - ولن تعرف حتى؟

فيما يلي إرشادات لمساعدتك على مسح الأخبار كالمحترفين:

"أرني أحدث الثغرات الأمنية أو تقارير الاختراق المتعلقة بـ [أدخل اسم المنصة هنا] من المدونات أو شركات الأبحاث أو أخبار الأمان في آخر 30 يومًا."

استخدمه في:

الجوزاء (الأفضل للويب المباشر + مدونات البائعين)
الحيرة (للحصول على ملخص أمني سريع)
ChatGPT (إذا تم تمكين التصفح)
أو ابحث يدويًا على Wiz وBleepingComputer ومدونات البائعين

📍لأن لوحة المعلومات الخاصة بك لن تخبرك بذلك عندما يتعلق الأمر بثغرات النظام الأساسي.
ولكن قد يكون هذا مجرد تدوينة.

منظور فريق الضوء المتجمد

هذه القصة لا تتعلق ببرمجة الاهتزاز التي سارت بشكل خاطئ.
يتعلق الأمر بهندسة المنصة - وتكلفة التحرك السريع دون وجود ما يكفي من الضوابط.

لم يكن سبب ثغرة Base44 هو الطريقة التي كان المستخدمون يبنون بها التطبيقات.
لم يكن الأمر يتعلق بالمطالبات أو الكتل أو "الاهتزازات".
كان الأمر يتعلق بكيفية بناء المنصة نفسها.

يمنح مفتاح المسؤول المشترك غير المشفر والمدمج إمكانية الوصول لإنشاء مستخدمين خارقين عبر كل تطبيق على النظام الأساسي.
إنها ليست ميزة تم إساءة استخدامها - هذا تعرض على مستوى البنية التحتية.

كان من الممكن أن يحدث هذا على أي منصة - منخفضة الكود، أو كاملة الكود، أو تعتمد على الاهتزاز، أو قديمة - إذا لم يكن الأمان موجودًا منذ اليوم الأول.
وهذه هي الرسالة الأعمق هنا.

إذا كان هناك أي شيء، فإن هذه القصة تثبت أن سرعة النمو يمكن أن تتفوق على الأمان - خاصة عندما تتسابق الشركات الناشئة في الأسواق الساخنة مثل إنشاء التطبيقات الفردية أو أدوات الإنشاء التي تركز على الذكاء الاصطناعي.

خلاصة القول ليست "لا تستخدم منصات الاهتزاز".
من المهم أن تعرف ما هو تحت الغطاء قبل أن تبني عليه.

ماذا لو كنت تقوم بالتوسع كشركة مكونة من شخص واحد باستخدام الذكاء الاصطناعي والمنصات التي لا تتطلب أكوادًا؟
هذا هو تذكير لك: الثقة تُكتسب - وليس مجرد تضخيم.

Share Article

Latest articles

#AI Ethics 1 August

Catharina Doria - Ethics Meets Entertaining

#AI News, #Anthropic, #Claude 31 July

Anthropic Sets Weekly Usage Limits Measured in Hours Affecting Heavy Users and API

#AI News, #CoPilot, #Microsoft 31 July

Microsoft Turns Edge Into a Full AI Browser

#AI News, #AI Security, #Vibe Coding 30 July

Base44 Vulnerability Exposed: Hardcoded Admin Key Left All Apps at Risk

Get stories direct to your inbox

We’ll never share your details. View our Privacy Policy for more info.