CVE-2025-48757 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Lovable AI全栈构建器的数据库行级安全（RLS）策略存在缺陷。 💥 **后果**：未认证攻击者可**读写任意数据库表**，数据彻底裸奔。

🔍 **CWE**：CWE-863（不正确的授权）。 🛠 **缺陷点**：**数据库行级安全策略不足**，未能有效隔离不同用户的数据访问权限。

📦 **厂商**：Lovable。 📅 **版本**：**2025-04-15及之前版本**均受影响。

🕵️ **权限**：**未认证**（无需登录）。 📂 **数据**：可**读取**敏感信息，也可**写入/修改**任意表数据，完整性与机密性双失。

🚪 **门槛**：**极低**。 ⚙️ **配置**：无需认证（PR:N），攻击复杂度低（AC:L），无需用户交互（UI:N）。

🧪 **PoC**：漏洞数据中 **pocs 为空**，暂无公开现成代码。 🌍 **在野**：参考链接显示社区已关注，但未见大规模自动化利用报道。

🔎 **自查**：检查 Lovable 项目是否运行在 **2025-04-15 之前**的版本。 📋 **验证**：审查数据库 RLS 策略配置，确认是否对所有表实施了严格的行级限制。

🛡️ **补丁**：官方已发布修复（参考 changelog 链接），建议立即升级至**最新版本**。

⚠️ **临时规避**：若无法立即升级，需**手动强化数据库 RLS 策略**，确保所有表均有正确的行级安全规则，并限制匿名访问。

🔥 **优先级**：**紧急**。 📈 **CVSS**：3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N。 💡 **建议**：因涉及**未认证任意读写**，风险极高，建议**立即修复**。