声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
背景
ashish_r_padelkar于2020年12月份提交的这个漏洞:
通过访问API端点https://gitlab.com/api/v4/groups/<ID>/invitations,可以看到任何公共组或公共项目的邀请;
https://gitlab.com/api/v4/projects/<ID>/invitations这个信息在UI中对guest/非会员是不可见的。
邀请也可以是电子邮件id,所以这些信息不应该对这样的用户可见!
复现步骤
1.跳至任何公共团体或公共项目,跳转至会员页面。你只看到确认的成员,但不会看到待定的成员。现在使用以下端点查看待定的成员(通过电子邮件邀请):
https://gitlab.com/api/v4/groups/<ID>/invitations
https://gitlab.com/api/v4/projects/<ID>/invitations
修复建议
这些API端点应该应用与等效UI端点相同的授权策略:
https://gitlab.com/api/v4/groups/:id/invitations
https://gitlab.com/api/v4/projects/:id/invitations
原文始发于微信公众号(迪哥讲事):gitlab漏洞系列-待定邀请数据泄露
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论