gitlab漏洞系列-项目设置中UI逻辑漏洞导致项目数据泄露

• 背景

• 复现步骤

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

背景

此漏洞由joaxcar小哥发现并于2022你1月份提交: 编辑项目可见性设置有三个选项: 1.通过点击切换按钮来转换特性 2.通过在下拉菜单中选择“only project members”来限制成员的访问权限 3.通过在下拉菜单中选择“everyone with access”来放开成员的访问权限

如果你点击这个开关(我经常故意或无意中)，然后再把它打开，下拉菜单就会显示“Only project members”。但无论在dropbox中选择什么保存状态都将是"所有有权访问的人"，因此，如果现在保存设置，同时选择“仅项目成员”，该设置将被忽略。

当用户登录并作为“项目的成员”进行设置时，做出更改的用户并不清楚他们没有被正确配置。我在试图限制对项目CI/CD的访问时就犯了这个错误。如果您没有返回到可见性设置中再次检查设置，则没有迹象表明设置失败。正如你所看到的，这种情况的严重程度有很大不同。但在最糟糕的情况下，它可能会将关键信息暴露给未经授权的用户。需要注意的是，触发此缺陷的流可能真的很常见，因为页面中的说明有点不清楚。设置页面的名字是“可见性，项目功能，权限”，这诱使我认为切换是可见性多次。只是意识到我已经改变了一个特性，使我触发了报告的问题。

复现步骤

1.登录Gitlab.com

2.创建一个公共项目(命名为“project1”)

3.打开项目设置https://gitlab.com/USERNAME/project1/edit，展开“Visibility, project features, permissions”。

4.来回切换按钮

5.确保下拉框显示“仅限项目成员”

6.点击保存

7.再次展开设置选项卡，看到设置被保存为“Everyone with access”

poc视频: 链接: https://pan.baidu.com/s/1iM6fwPSUmSSyvGv4lDriNQ  密码: ar70