gitlab漏洞系列-私有项目中CI/CD数据泄露

admin

138635
文章

114
评论

2022年4月20日03:06:36评论28 views字数 406阅读1分21秒阅读模式

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

背景

这个问题由ashish_r_padelkar提交:(2021-01-08)

这应该是属于文档错误。gitlab官方bbp中提到: 报告导致文档更新的故意行为将获得100美元的赏金，只要该更新与安全相关。根据用户权限文档，https://docs.gitlab.com/ee/user/permissions.html, Guest应该不能看到 CI/CD分析，这是错误的，因为Guest可以在私人项目中看到CI/CD分析。不太确定是否有任何最近的变化，但在任何情况下，无论是文档或代码都需要修复!

复现步骤

作为guest登录私人项目，你可以看到CI/CD分析选项，并可以浏览!

原文始发于微信公众号（迪哥讲事）：gitlab漏洞系列-私有项目中CI/CD数据泄露

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

本文由 admin 发表于 2022年4月20日03:06:36
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
gitlab漏洞系列-私有项目中CI/CD数据泄露https://cn-sec.com/archives/926340.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

gitlab漏洞系列-私有项目中CI/CD数据泄露

背景

复现步骤

Web3 安全入门避坑指南｜剪贴板安全

利用n8n结合ollama-Deepseek大模型创建智能体

如何利用图像验证技术识别钓鱼攻击？

Webshell免杀思路-PHP篇-1：经典混淆的艺术

CimFS：内存崩溃，查找系统（内核版）

Astral-PE 是用于本机 Windows PE 文件（x32/x64）的低级变异器（Headers/EP 混淆器）

【通俗易懂说AI】MCP如何安装以及使用

深入解析 URL 跳转漏洞：审计方法与渗透实战全攻略

记一次前端js加解密泄露引发的漏洞

一文吃透文件上传漏洞！路径遍历、后缀绕过、ZIP炸弹全解析

发表评论

在线咨询

微信