-
合并请求功能
-
group功能
-
Analytics相关
-
Webhook相关
-
issue相关
-
curl操作相关
-
project相关
合并请求功能
私有项目路径泄露 https://mp.weixin.qq.com/s/nqHxY0hq7dwQhnDU2HpQiA
group功能
私有邮箱泄露 https://mp.weixin.qq.com/s/2_kM6b8hL2JdDR5c_oEvsQ
待定邀请数据泄露 https://mp.weixin.qq.com/s/T0SpNwVT93XH9s_AhaDqDw
guest用户可以从组发布接口看到发布Tag https://mp.weixin.qq.com/s/eVH0nkrmDSIQC4EaQ6OKKg
SCIM令牌泄露 https://mp.weixin.qq.com/s/k_XIAPZpPRnhY9cfYddNcg
通过api私有组的信息泄露 https://mp.weixin.qq.com/s/9LaLPusLAA5ZRAfSHyE0FQ
私有项目信息泄露 https://mp.weixin.qq.com/s/Y_7rOxxNVROHz3c6lJTnEw
Analytics相关
Analytics泄露 https://mp.weixin.qq.com/s/4vy74s--LTKhUPvL_0ZIyg
组仓库Analytics数据泄露 https://mp.weixin.qq.com/s/eCebLju2lfopmX3xoiHcZw
Webhook相关
前员工越权查看项目更新 https://mp.weixin.qq.com/s/a1pRUehAJU4A3clx0ySLFA
Webhook令牌泄露导致CI管道触发 https://mp.weixin.qq.com/s/3Y_B10Yc2grQUgQ-0WTTsA
issue相关
越权访问issue https://mp.weixin.qq.com/s/_qCiJQGFo9HXZR0s8HBLLQ
用户越权查看requests_issue数量 https://mp.weixin.qq.com/s/rurF8S03lCQMo2-Yn-M2tg
敏感问题权重泄露 https://mp.weixin.qq.com/s/WbymnMu8ATLkI7fN437s2A
curl操作相关
服务台电子邮件泄露 https://mp.weixin.qq.com/s/gYfjXbTBZGi0QghUmv4_3A
项目访问令牌名泄露 https://mp.weixin.qq.com/s/p-BylW3OSFb1X0GhWXOYrw
ssh keys泄露 https://mp.weixin.qq.com/s/u0W5bhmeqis-5ILcINx0Tw
默认分支泄露 https://mp.weixin.qq.com/s/eJiudP7yEWwrp0zl3QDdqQ
邮箱地址泄露 https://mp.weixin.qq.com/s/lEYCrlb5o1faUGTCN2iVDQ
project相关
环境变量泄露 https://mp.weixin.qq.com/s/yNdRSrdlI2jXY-rG-dBDOA
私有项目的时间跟踪报告泄露 https://mp.weixin.qq.com/s/wpV8kM9hV68IH1bB7D6kMw
仓库敏感信息通过yml文件泄露 https://mp.weixin.qq.com/s/6cFB_nM-Eb_tbo7CtjMJ6w
私有项目中CI/CD数据泄露 ci/cd https://mp.weixin.qq.com/s/Y6hXZVeOiNjgU_ZgL3Hs7Q
导入项目的管道时间表可以自动激活 https://mp.weixin.qq.com/s/6f60GPLmSifwZ4k0rUJngA
项目中的Guest用户越权看到TEST用例 https://mp.weixin.qq.com/s/E7LofSGD72rLQj-84Z3JQA
前开发人员可以使用TODO越权查看警报
https://mp.weixin.qq.com/s/p9pUewJmTcxvJRNelq2LJg
原文始发于微信公众号(迪哥讲事):gitlab漏洞系列-information disclosure小结
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论