VU#849433:Adalo 数据库 API 因过度获取及缺失授权控制,导致跨应用用户数据提取
Adalo 的无代码应用平台存在一个严重的安全漏洞,通过其数据库 API 暴露了所有基于 V1 和 V2 构建的应用的完整用户记录。该问题影响超过一百万个应用,使开发者和其最终用户面临数据泄露风险。该问题源于平台层面的缺陷,允许已认证用户检索任何 Adalo 应用的完整用户数据,无论其配置如何。Adalo 是用于构建无代码应用的软件即服务(SaaS)提供商,每个应用本应在逻辑上隔离,拥有独立的数据库、用户和配置。然而,Adalo 的数据库 API 存在缺陷,导致后端在每次列表组件请求时返回完整用户记录,而不论组件配置为显示哪些字段。数据库未实施基于所有权的服务器端授权检查,使得任何 Adalo 应用的已认证用户均可查询属于其他应用的数据库和表标识符,并检索完整记录。此外,Adalo 使用长期有效的 JWT 令牌(有效期约二十天),攻击者可复用这些令牌直接查询数据库 API 并提取大量用户数据。暴露的令牌、宽松的跨域资源共享(CORS)行为以及较大的响应限制,使得攻击者仅需从任意访客会话中获取单个令牌,即可进行持久化、自动化的整个用户数据库采集。该漏洞影响所有基于 V1 和 V2 的 Adalo 应用,客户和租户应假定 Adalo 集合中的数据可能已暴露,并在补丁部署前避免在其中存储敏感信息。Adalo 已确认该问题,但目前尚无可用补丁,用户应警惕钓鱼和身份盗窃风险增加,并监控账户中的可疑活动。