A Wix corrigiu em apenas 24 horas uma falha crítica na plataforma Base44, recentemente adquirida pela empresa, que permitia acesso não autorizado a aplicativos privados criados por usuários. A vulnerabilidade foi descoberta pela equipe da empresa de segurança Wiz e reportada no dia 9 de julho de 2025.
A Base44 é uma plataforma de codificação baseada em inteligência artificial, conhecida como “vibe coding”, que permite criar aplicações a partir de comandos de texto. A falha afetava dois endpoints de autenticação que não exigiam restrições, permitindo que qualquer pessoa criasse uma conta verificada em apps privados apenas com o identificador “app_id”. Esse identificador não é secreto e estava visível tanto na URL da aplicação quanto em arquivos públicos como o manifest.json.
Com ele, era possível registrar e autenticar contas em qualquer aplicativo da plataforma, sem precisar de autorização ou autenticação adicional, burlando inclusive proteções como o login via Single Sign-On (SSO). Os pesquisadores da Wiz demonstraram que, após o registro com um e-mail e verificação por OTP, bastava fazer login normalmente pela interface da aplicação para obter acesso irrestrito ao conteúdo da aplicação privada. A falha expunha dados sensíveis e aplicativos internos, mas não há evidências de que ela tenha sido explorada por atacantes antes da correção. A resposta rápida da Wix foi destacada positivamente, com a correção sendo lançada em menos de um dia após a notificação.
