-
背景
-
复现步骤
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
背景
harbitz于2020年提交了这个漏洞: 在向项目导入组成员时,可以选择Import (/project_members/ Import)来从您拥有的其他项目中导入成员。通过使用另一个公共项目ID更改source_project_id参数,该项目的所有成员将收到一个邀请。
复现步骤
1.导航至https://gitlab.com///-/project_members/import
2.从下拉列表中选择一个项目
3.单击导入项目成员
4.将source_project_id参数修改为另一个公共项目(例如GitLab项目,278964)
5.source_project_id的所有成员都将收到一个邀请。
原文始发于微信公众号(迪哥讲事):gitlab漏洞系列-项目组成员越权收到邀请
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论