gitlab漏洞系列-项目设置中UI逻辑漏洞导致项目数据泄露

admin 2022年5月9日12:30:21评论57 views字数 925阅读3分5秒阅读模式


  • 背景

  • 复现步骤


声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

背景

此漏洞由joaxcar小哥发现并于2022你1月份提交: 编辑项目可见性设置有三个选项: 1.通过点击切换按钮来转换特性 2.通过在下拉菜单中选择“only project members”来限制成员的访问权限 3.通过在下拉菜单中选择“everyone with access”来放开成员的访问权限

如果你点击这个开关(我经常故意或无意中),然后再把它打开,下拉菜单就会显示“Only project members”。但无论在dropbox中选择什么保存状态都将是"所有有权访问的人",因此,如果现在保存设置,同时选择“仅项目成员”,该设置将被忽略。

当用户登录并作为“项目的成员”进行设置时,做出更改的用户并不清楚他们没有被正确配置。我在试图限制对项目CI/CD的访问时就犯了这个错误。如果您没有返回到可见性设置中再次检查设置,则没有迹象表明设置失败。正如你所看到的,这种情况的严重程度有很大不同。但在最糟糕的情况下,它可能会将关键信息暴露给未经授权的用户。需要注意的是,触发此缺陷的流可能真的很常见,因为页面中的说明有点不清楚。设置页面的名字是“可见性,项目功能,权限”,这诱使我认为切换是可见性多次。只是意识到我已经改变了一个特性,使我触发了报告的问题。

复现步骤

1.登录Gitlab.com

2.创建一个公共项目(命名为“project1”)

3.打开项目设置https://gitlab.com/USERNAME/project1/edit,展开“Visibility, project features, permissions”

4.来回切换按钮

5.确保下拉框显示“仅限项目成员”

6.点击保存

7.再次展开设置选项卡,看到设置被保存为“Everyone with access”

poc视频: 链接: https://pan.baidu.com/s/1iM6fwPSUmSSyvGv4lDriNQ  密码: ar70


原文始发于微信公众号(迪哥讲事):gitlab漏洞系列-项目设置中UI逻辑漏洞导致项目数据泄露

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月9日12:30:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   gitlab漏洞系列-项目设置中UI逻辑漏洞导致项目数据泄露https://cn-sec.com/archives/991546.html

发表评论

匿名网友 填写信息