Duas Falhas Críticas Descobertas no Wondershare RepairIt Expõem Dados de Usuários e Modelos de IA

Pesquisadores de segurança cibernética descobriram duas vulnerabilidades críticas no software Wondershare RepairIt que expuseram dados privados de usuários e criaram riscos de adulteração de modelos de IA e ataques à cadeia de suprimentos.

As Vulnerabilidades

• CVE-2025-10643 (CVSS 9.1): Vulnerabilidade de bypass de autenticação em token de conta de armazenamento
• CVE-2025-10644 (CVSS 9.4): Vulnerabilidade de bypass de autenticação em token SAS

Impacto

A exploração bem-sucedida permite que atacantes:

• Contornem proteções de autenticação
• Lancem ataques à cadeia de suprimentos
• Executem código arbitrário em endpoints de clientes

Problemas Identificados

O aplicativo de reparo de dados e edição de fotos movido a IA:

• Coletava e armazenava dados de usuários contrariando sua política de privacidade
• Armazenava tokens de acesso excessivamente permissivos diretamente no código
• Mantinha dados sem criptografia no armazenamento em nuvem

O armazenamento exposto continha:

• Dados de usuários (imagens e vídeos)
• Modelos de IA
• Binários de software Wondershare
• Imagens de container e código-fonte da empresa

Riscos Adicionais

A falta de resposta da Wondershare às notificações da Trend Micro (abril de 2025) mantém os usuários em risco. Recomenda-se restringir a interação com o produto até correções serem implementadas.

Contexto Mais Amplo

O caso destaca a importância de:

• Implementar processos de segurança robustos em pipelines CI/CD
• Combinar inovação em IA com práticas de segurança adequadas
• Evitar exposição de servidores MCP sem autenticação
• Prevenir credenciais armazenadas em texto simples

A adoção rápida de ferramentas de IA sem políticas de segurança claras pode abrir novos vetores de ataque, incluindo envenenamento de ferramentas, injeção de prompt e escalação de privilégios não autorizada.