gitlab漏洞系列-前员工越权查看项目更新

admin 2022年4月13日09:32:52安全文章评论22 views635字阅读2分7秒阅读模式



声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

背景

白帽小哥scaramouche31于2021年11月份提交了这个漏洞: Gitlab在员工从私有项目中移除后不会删除webhook,这允许攻击者获得私有项目的数据更新,包括:

  • Push events
  • Tag push events
  • Comments
  • Confidential comments
  • Issues events
  • Confidential issues events
  • Merge request events
  • Job events
  • Pipeline events
  • Wiki page events
  • Deployment events
  • Feature flag events
  • Releases events

复现步骤

1.作为项目创建者,给一些员工设置维护者权限。

2.作为一个员工:跳转至 Settings -> Webhooks -> Create a webhook (你可以使用https://webhook.site)

3.以项目创建者将员工从项目中删除,注意: 提示中提到后面的相关问题和合并请求将不再分配给这个员工,但是没有说到webhook。

4.作为管理员,举个例子,为任何issue添加一些注释。

5.作为一名员工,webhook仍然会在每一个事件中启动,并泄露敏感信息。

影响

项目更新的细节被泄露


原文始发于微信公众号(迪哥讲事):gitlab漏洞系列-前员工越权查看项目更新

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月13日09:32:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  gitlab漏洞系列-前员工越权查看项目更新 http://cn-sec.com/archives/905175.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: