VU#849433: Adalo 데이터베이스 API, 과... 노트

VU#849433: Adalo 데이터베이스 API, 과다 요청 및 권한 제어 누락을 통한 앱 간 사용자 데이터 추출 가능

Adalo의 노코드 애플리케이션 플랫폼에는 V1 및 V2 모두에서 구축된 모든 애플리케이션에 대해 데이터베이스 API를 통해 완전한 사용자 기록을 노출하는 심각한 보안 취약점이 있습니다. 이 문제는 백만 개 이상의 애플리케이션에 영향을 미쳐 개발자와 최종 사용자를 데이터 노출 위험에 빠뜨립니다. 이 문제는 인증된 사용자가 구성에 관계없이 모든 Adalo 애플리케이션에 속한 전체 사용자 데이터를 검색할 수 있도록 하는 플랫폼 수준의 결함에서 발생합니다. Adalo는 노코드 애플리케이션 구축을 위한 서비스형 소프트웨어(SaaS) 제공업체이며, 각 애플리케이션은 별도의 데이터베이스, 사용자 및 구성으로 논리적으로 격리되어야 합니다. 그러나 Adalo 데이터베이스 API에는 구성된 필드와 관계없이 모든 목록 구성 요소 요청에 대해 백엔드가 완전한 사용자 기록을 반환하도록 허용하는 결함이 있습니다. 데이터베이스는 소유권 인지 서버 측 권한 부여 검사를 강제하지 않아, 모든 Adalo 애플리케이션의 인증된 사용자가 다른 애플리케이션에 속한 데이터베이스 및 테이블 식별자를 쿼리하고 전체 기록을 검색할 수 있습니다. 또한, Adalo는 약 20일 동안 유효한 장기 JWT 토큰을 사용하므로 공격자는 이러한 토큰을 재사용하여 데이터베이스 API를 직접 쿼리하고 대량의 사용자 데이터를 추출할 수 있습니다. 노출된 토큰, 허용적인 CORS 동작 및 큰 응답 제한의 조합은 단일 토큰만으로도 모든 사용자 세션에서 얻은 토큰을 사용하여 전체 사용자 데이터베이스의 지속적이고 자동화된 수집을 가능하게 합니다. 이 취약점은 V1 및 V2의 모든 Adalo 애플리케이션에 영향을 미치며, 고객 및 테넌트는 Adalo 컬렉션의 데이터가 노출될 수 있다고 가정하고 패치가 배포될 때까지 민감한 정보를 저장하지 않아야 합니다. Adalo는 이 문제를 인지했지만 현재 패치는 제공되지 않으며, 사용자는 피싱 및 신원 도용 위험 증가에 유의하고 의심스러운 활동에 대해 계정을 모니터링해야 합니다.