Adalo Database API Zafiyeti: Milyonlarca Uygulamayı Etkileyen Veri Güvenliği Açığı
Adalo, no-code uygulamalar oluşturmak için kullanılan bir Software-as-a-Service (SaaS) sağlayıcısıdır. Her bir uygulama veya kiracı (müşteri) teoride ayrı veritabanları, kullanıcılar ve yapılandırmalar ile mantıksal olarak izole edilmiştir. Ancak, CVE-2026-10706 kodlu zafiyet, yetkilendirme kontrollerinin eksikliği nedeniyle, herhangi bir Adalo uygulamasının yetkilendirilmiş kullanıcılarının diğer uygulamalara ait tam kullanıcı kayıtlarını sorgulamasına ve almasına izin veriyor. Bu durum, daha da kötüleşerek, sorgulanan alanların ötesinde tüm kayıtları açığa çıkarabiliyor. Ayrıca, CVE-2026-10708 kodlu bir başka zafiyet, uzun süre geçerli olan JWT token'larının istemci tarafında görülebilmesi ve tekrar kullanılabilmesini sağlıyor. Bu, saldırganların, sadece bir token kullanarak, büyük miktarda kullanıcı verisini otomatik olarak toplamasına olanak tanıyor.
Bu zafiyetler, özellikle milyonlarca uygulamayı etkileyerek, geliştiricileri ve son kullanıcıları ciddi bir veri güvenliği riskine maruz bırakıyor. Etkilenen kişiler, veri ifşası riskine karşı önlem almak için acil olarak necessary adımları atmaları gerekiyor. Adalo'nun bu zafiyetleri gidermek için bir yama veya çözüm üretmesi bekleniyor.

