Low-code платформа Lovable столкнулась с критической уязвимостью (CVE-2025-48757, CVSS 9.3), позволившей без аутентификации читать и изменять пользовательские данные в сотнях проектов. Проблема возникла из-за некорректной настройки Row-Level Security (RLS) в базе Supabase: многие политики по умолчанию были записаны как USING (true), фактически открывая все данные для неавторизованных пользователей.

• Исследователь безопасности Мэтт Палмер выявил уязвимость на платформе Linkable 20 марта 2025, обнаружив 303 уязвимых REST-эндпоинта среди 1645 проверенных проектов; 170 сайтов (10%) позволяли получить доступ к персональным и платёжным данным.
• Lovable выпустила обновление 2.0 с инструментом Security Scan, но он лишь подтверждал факт включения RLS, не проверяя логику и реальную защиту.
• Разработчики и эксперты отметили: ответственность за безопасность не должна перекладываться на конечных пользователей low-code платформ, а автоматизированные проверки должны выявлять небезопасные RLS-политики.
• Случай с Lovable стал показательным для всей индустрии low-code/AI-конструкторов: простота внедрения не должна идти в ущерб базовой безопасности и контролю доступа к данным.