Falha crítica em plataforma de vibe coding permitia acesso não autorizado a aplicações privadas

Pesquisadores de segurança identificaram uma vulnerabilidade grave na Base44 — plataforma de desenvolvimento recentemente adquirida pela Wix — que permitia o acesso não autorizado a aplicações privadas, originalmente restritas a usuários autenticados.

A falha permitia que qualquer pessoa criasse uma conta verificada em aplicativos protegidos, mesmo sem autorização. Para isso, bastava conhecer o “app_id”, um identificador público e facilmente acessível de qualquer aplicação criada na plataforma. Com esse dado, era possível explorar uma API interna não documentada para registrar novos usuários e obter acesso privilegiado.

O problema era ainda mais grave porque permitia contornar sistemas de autenticação baseados em SSO (Single Sign-On), normalmente usados para garantir que apenas usuários previamente autorizados por uma empresa pudessem acessar determinadas aplicações.

As APIs envolvidas estavam publicamente expostas e não exigiam autenticação, o que facilitava a exploração por qualquer pessoa com conhecimentos básicos de requisições via API.

A falha colocava em risco aplicações corporativas que lidam com informações sensíveis, como chatbots internos, bases de conhecimento e sistemas de recursos humanos contendo dados pessoais identificáveis.

Após a divulgação do problema, a Wix corrigiu a vulnerabilidade em menos de 24 horas, e a empresa afirma que a falha já está completamente resolvida. Até o momento, não há indícios de exploração ativa.