Bir ekip, ürün analizi çözümü olarak PostHog'u değerlendirirken, alışılmadık bir satıcı seçimi yaklaşımı benimsedi: 24 saatlik sıkı bir teknik inceleme penceresi. Bu süreç, pazarlama materyallerini veya özellik karşılaştırmalarını atlayarak, ürünün kendi ortamlarında nasıl davrandığına dair derinlemesine bir kaynak kodu ve davranış analizi içeriyordu. Açık kaynaklı yapısı, yaygın kullanımı ve modern mimarisiyle PostHog güçlü bir aday olarak öne çıktı ve ekip, hızlı bir şekilde yerel bir örnek kurarak incelemeye başladı.
İncelemenin ilk aşaması, PostHog'un yüksek seviyeli mimarisini anlamak ve kurulum süreçlerini gözden geçirmekle geçti. Bu adım, potansiyel saldırı senaryolarını geliştirmek için kritik bir zemin oluşturdu. Özellikle, Rust dilinde yazılmış işçiler (workers) ve eklenti hizmetleri gibi detaylar, daha sonraki güvenlik açığı keşifleri için önemli ipuçları sağladı.
Ardından, PostHog'un binlerce harici entegrasyonu desteklemesi, güvenlik araştırmacısının dikkatini Server-Side Request Forgery (SSRF) zafiyetlerine çekti. CRM'lerden faturalandırma sistemlerine kadar farklı kaynaklardan veri çekme yeteneği, bu tür açıklara kapı aralıyordu. Araştırmacı, ana uygulama, işçiler ve eklentilerin kaynak kodunu inceleyerek CVE-2024-9710, CVE-2025-1522 ve CVE-2025-1521 gibi birden fazla SSRF zafiyeti keşfetti. Bu zafiyetler, bilgi ifşasına yol açabilecek kritik güvenlik riskleri taşıyordu.
PostHog gibi yaygın kullanılan bir ürün analizi platformunda, derinlemesine güvenlik incelemelerinin ne kadar kritik zafiyetleri ortaya çıkarabileceğini gösteriyor.