gitlab漏洞系列-前员工越权查看项目更新

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

背景

白帽小哥scaramouche31于2021年11月份提交了这个漏洞: Gitlab在员工从私有项目中移除后不会删除webhook，这允许攻击者获得私有项目的数据更新，包括:

• Push events
• Tag push events
• Comments
• Confidential comments
• Issues events
• Confidential issues events
• Merge request events
• Job events
• Pipeline events
• Wiki page events
• Deployment events
• Feature flag events
• Releases events

复现步骤

1.作为项目创建者，给一些员工设置维护者权限。

2.作为一个员工:跳转至 Settings -> Webhooks -> Create a webhook (你可以使用https://webhook.site)

3.以项目创建者将员工从项目中删除,注意: 提示中提到后面的相关问题和合并请求将不再分配给这个员工，但是没有说到webhook。

4.作为管理员，举个例子,为任何issue添加一些注释。

5.作为一名员工，webhook仍然会在每一个事件中启动，并泄露敏感信息。

影响

项目更新的细节被泄露