Siber güvenlik araştırmacıları, Netflix, Stripe ve Datadog gibi büyük şirketlerin dayanıklı kod yürütme altyapısını oluşturan Temporal platformunda kritik bir güvenlik açığı (CVE-2025-14986) tespit etti. "Maskeli namespace zafiyeti" olarak adlandırılan bu açık, Temporal'ın ExecuteMultiOperation uç noktasında ortaya çıktı. Bu uç nokta, StartWorkflow ve UpdateWorkflow gibi birden fazla işlemi tek bir ağ isteği içinde atomik olarak yürütmek üzere tasarlanmış bir "paketlenmiş API" özelliği sunuyor. Güvenlik uzmanları, bu tür paketlenmiş API'lerin karmaşıklık nedeniyle güvenlik açıklarına yol açabileceği konusunda uyarıyor.
Zafiyetin temelinde bir kimlik bağlama hatası yatıyor. Normalde, bir istek ExecuteMultiOperation uç noktasına ulaştığında, Temporal dış isteğin namespace'i için doğru bir yetkilendirme kontrolü yapar ve ilgili namespaceID'yi türeterek aşağıya doğru iletir. Ancak sorun, sistem paketi açtığında ortaya çıkıyor. Paket içindeki her bir alt işlem, kendi Namespace alanını taşıyor. convertToHistoryMultiOperationItem yardımcı fonksiyonunda, kodun "bu kullanıcı kim?" sorusuna yanıt veren iki farklı bilgi kaynağı bulunuyordu: yetkilendirme kontrolünden gelen doğrulanmış namespaceID ve paketin içindeki güvenilmeyen JSON yükü (startReq).
Bu hata, istek hazırlığı (politikalar, takma adlar, şema) için güvenilmeyen iç yükteki kimliğin kullanılması ile yönlendirme ve kalıcılık için doğrulanmış dış kimliğin kullanılması arasındaki tutarsızlıktan kaynaklanıyordu. Saldırganlar, dış isteği kendi yetkili namespace'leri üzerinden gönderirken, paketin içindeki bir işlemi farklı, yetkisiz bir namespace ile işaretleyerek sistemin bu güvenilmeyen namespace'i kullanarak hassas işlemleri gerçekleştirmesini sağlayabiliyordu. Bu durum, büyük şirketlerin iş akışlarının güvenilirliğini ve bütünlüğünü doğrudan etkileyebilecek ciddi sonuçlar doğurabilir.
Bu zafiyet, paketlenmiş API'lerin sunduğu verimliliğin, doğru kimlik doğrulama ve yetkilendirme mekanizmaları olmadan ciddi güvenlik riskleri taşıyabileceğini gösteriyor.