Post by Berk Dedekargınoğlu

Offensive Security Engineer | Vulnerability Researcher | 14+ CVEs | Building MentionCheck

FlowiseAI platformunda gerçekleştirdiğim güvenlik analizi kapsamında kimlik doğrulama yapılandırmasını etkileyen kritik bir yetkilendirme zafiyeti tespit ettim. Bu bulgu CVE-2026-30823 olarak kayda geçti. Zafiyet, PUT /api/v1/loginmethod endpoint’inin organizationId parametresini istemci tarafından gönderilen isteğin gövdesinden almasına rağmen, ilgili kullanıcının gerçekten bu organizasyon üzerinde yetkiye sahip olup olmadığını doğrulamamasından kaynaklanıyordu. Bu eksik yetkilendirme kontrolü, düşük yetkili bir kullanıcının başka organizasyonların SSO yapılandırmasını değiştirebilmesine imkan tanıyordu. Bir saldırgan, hedef organizasyonun OAuth yapılandırmasını kendi kontrolündeki kimlik bilgileriyle değiştirerek kullanıcıların kimlik doğrulama akışını kötü niyetli bir uygulamaya yönlendirebilir. Bu senaryo potansiyel olarak hesap ele geçirme riskini ortaya çıkarıyor. Bu vaka, organizasyon seviyesinde çalışan API’lerde IDOR zafiyetlerinin business logic hatalarıyla birleştiğinde ne kadar kritik sonuçlar doğurabileceğini gösteren iyi bir örnek oldu. Sorumlu bildirim sürecinin ardından FlowiseAI ekibiyle koordineli şekilde zafiyet giderildi. Süreç boyunca hızlı geri dönüşleri ve iş birliği için ekibe teşekkür ederim. Medium: https://lnkd.in/dcPG_mB3 Advisory: https://lnkd.in/dEwWQjGF #OffensiveSecurity #VulnerabilityResearch #CVE202630823 #FlowiseAI #IDOR #AppSec

Post content