VU#849433: Adalo Database API ... ノート

VU#849433: Adalo Database API が、オーバーフェッチと認証制御の欠如を通じてクロスアプリでのユーザーデータ抽出を可能にする

Adaloのノーコードアプリケーションプラットフォームには、V1とV2の両方で構築されたすべてのアプリケーションのデータベースAPIを通じて、完全なユーザーレコードを公開する重大なセキュリティ上の欠陥があります。この問題は100万以上のアプリケーションに影響を与え、開発者とエンドユーザーをデータ漏洩のリスクにさらしています。この問題は、認証されたユーザーが、設定に関係なく、任意のAdaloアプリケーションに属する完全なユーザーデータを取得できるプラットフォームレベルの欠陥に起因します。Adaloはノーコードアプリケーションを構築するためのSaaSプロバイダーであり、各アプリケーションは個別のデータベース、ユーザー、設定で論理的に分離されることになっています。しかし、AdaloデータベースAPIには、コンポーネントが表示するように設定されているフィールドに関係なく、すべてのリストコンポーネント要求に対してバックエンドが完全なユーザーレコードを返すことを許可する欠陥が含まれています。データベースは、所有権を認識したサーバーサイドの承認チェックを強制しないため、任意のAdaloアプリケーションの認証されたユーザーが、他のアプリケーションに属するデータベースおよびテーブル識別子をクエリし、完全なレコードを取得できます。さらに、Adaloは、約20日間有効な長期JWTトークンを使用しており、攻撃者はこれらのトークンを再利用してデータベースAPIに直接クエリを実行し、大量のユーザーデータを抽出できます。公開されたトークン、許可されたCORS動作、および大きな応答制限の組み合わせにより、任意の訪問者セッションから取得した単一のトークンのみを使用して、永続的かつ自動化されたユーザーデータベース全体のハーベスティングが可能になります。この脆弱性は、V1とV2の両方のすべてのAdaloアプリケーションに影響を与え、顧客とテナントは、Adaloコレクション内のデータが公開されている可能性があると想定し、パッチが展開されるまで機密情報をそこに保存しないようにする必要があります。Adaloはこの問題を認識していますが、現在パッチは利用できず、ユーザーはフィッシングや個人情報盗難のリスクの増加に注意し、不正なアクティビティがないかアカウントを監視する必要があります。