{"id":22838,"date":"2025-08-05T08:00:00","date_gmt":"2025-08-05T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=22838"},"modified":"2025-08-05T15:58:40","modified_gmt":"2025-08-05T18:58:40","slug":"wix-corrige-falha-critica","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/08\/exploits\/wix-corrige-falha-critica\/","title":{"rendered":"Wix corrige falha cr\u00edtica"},"content":{"rendered":"\n

Wix corrige em 24 horas falha cr\u00edtica na plataforma Base44 e evita exposi\u00e7\u00e3o massiva de dados privados<\/strong><\/p>\n

A seguran\u00e7a cibern\u00e9tica tem exigido respostas cada vez mais r\u00e1pidas e eficazes por parte das empresas, especialmente diante de descobertas de vulnerabilidades cr\u00edticas em produtos amplamente utilizados. Foi exatamente essa postura proativa que a Wix demonstrou ao corrigir, em menos de 24 horas, uma falha severa na plataforma Base44 \u2014 tecnologia recentemente adquirida pela companhia \u2014 que expunha dados sens\u00edveis de aplica\u00e7\u00f5es privadas a acessos n\u00e3o autorizados.<\/p>\n

\u00a0<\/p>\n

A vulnerabilidade na Base44: como a falha permitia acesso irrestrito<\/strong><\/p>\n

Descoberta em 9 de julho de 2025 por pesquisadores da empresa de seguran\u00e7a Wiz, a vulnerabilidade encontrada na Base44 envolvia dois endpoints de autentica\u00e7\u00e3o desprotegidos<\/strong>, que n\u00e3o exigiam valida\u00e7\u00f5es adicionais. A Base44, voltada para o desenvolvimento de aplica\u00e7\u00f5es via intelig\u00eancia artificial \u2014 no conceito conhecido como vibe coding<\/em> \u2014, permite que usu\u00e1rios criem aplicativos atrav\u00e9s de comandos de texto. No entanto, o sistema permitia que qualquer usu\u00e1rio, de posse do identificador app_id<\/code>, criasse uma conta verificada e obtivesse acesso pleno a qualquer app hospedado na plataforma.<\/p>\n

\u00a0<\/p>\n

O app_id<\/code> n\u00e3o era um segredo protegido: ele podia ser facilmente encontrado em arquivos p\u00fablicos como o manifest.json<\/code>, bem como diretamente nas URLs dos aplicativos. A aus\u00eancia de restri\u00e7\u00f5es permitia que um usu\u00e1rio com conhecimentos b\u00e1sicos registrasse um e-mail, validasse via OTP (One-Time Password) e, logo ap\u00f3s, acessasse conte\u00fados internos<\/strong> de aplica\u00e7\u00f5es privadas, sem qualquer permiss\u00e3o pr\u00e9via ou autentica\u00e7\u00e3o robusta. Isso inclu\u00eda burlar sistemas de login corporativo com SSO (Single Sign-On)<\/strong>, comprometendo significativamente a confidencialidade de dados armazenados nessas solu\u00e7\u00f5es.<\/p>\n

\u00a0<\/p>\n

Resposta r\u00e1pida e mitiga\u00e7\u00e3o imediata pela Wix<\/strong><\/p>\n

Apesar da gravidade da falha, n\u00e3o h\u00e1 registros de explora\u00e7\u00e3o ativa da vulnerabilidade antes de sua corre\u00e7\u00e3o<\/strong>, o que pode ser atribu\u00eddo \u00e0 atua\u00e7\u00e3o \u00e1gil da Wix. Assim que foi notificada pela Wiz, a empresa lan\u00e7ou um patch corretivo em menos de 24 horas<\/strong>, a\u00e7\u00e3o considerada exemplar dentro do setor.<\/p>\n

Essa rapidez de resposta demonstra a maturidade do processo de resposta a incidentes da empresa e refor\u00e7a a import\u00e2ncia de manter canais abertos com a comunidade de seguran\u00e7a \u2014 pr\u00e1tica que se tornou essencial no ecossistema digital atual. A Wix tamb\u00e9m realizou an\u00e1lises internas para verificar se houve qualquer tipo de comprometimento pr\u00e9vio, sem encontrar ind\u00edcios de acesso indevido.<\/p>\n

\u00a0<\/p>\n

Implica\u00e7\u00f5es de seguran\u00e7a e boas pr\u00e1ticas recomendadas<\/strong><\/p>\n

O caso exp\u00f5e riscos amplamente discutidos, mas muitas vezes negligenciados, como:<\/p>\n