gitlab漏洞系列-私人项目的时间跟踪报告泄露

gitlab漏洞系列-私人项目的时间跟踪报告泄露

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

背景

白帽小哥ashish_r_padelkar于2021年7月份提交了这个漏洞: 根据本文档https://docs.gitlab.com/ee/user/project/time_tracking.html#view-a-time-tracking-report 必须至少具有项目的Reporter角色才能查看time tracking report; 此外，根据本文档，https://docs.gitlab.com/ee/user/permissions.html, guest用户只能看到公共和内部项目的时间跟踪报告，但是没有权限看到私人项目的相关信息。

实际上: guest用户可以查看所有项目的时间跟踪报告，而不受可见性设置的影响;

复现步骤

1.创建一个私人项目;

2.在markdown编辑器中,使用下面的命令创建一个公共问题,并在quick action中添加估计和花费时间,以便为该问题生成时间跟踪报告。

    /estimate 1mo 2w 3d 4h 5m  
    /spend 1mo 2w 3d 4h 1m  

3.以Guest用户身份登录该项目，并导航到上面创建的问题。

4.根据上面提到的文档，时间跟踪报告不应该对这个用户可见，因为项目是私有的。不过，可以点击时间跟踪报告可用的右侧栏的问题!

5.你可以看到时间跟踪报告