GitLab 向报告自家平台的严重远程代码执行漏洞的安全研究人员奖励了 2 万美元。该漏洞由 William "vakzz" Bowling 发现,Bowling 既是一名程序员同时也是 Bug 赏金猎人,他于3月23日通过 HackerOne Bug 赏金平台私密披露了该漏洞。Bowling 表示,GitLab 的 UploadsRewriter 函数用于拷贝文件,而这正是此次严重安全问题的源头。当 issue 被用于跨项目复制时,UploadsRewriter 函数会检查文件名和补丁。然而在这过程中由于没有验证检查,导致出现路径遍历问题,这可能会被利用于复制任何文件。根据 Bug 赏金猎人的说法,如果漏洞被攻击者利用,则可能会被用于"读取服务器上的任意文件,包括 token、私有数据和配置"。GitLab 实例和 GitLab.com 域均受到该漏洞的影响,此漏洞被 Hack
GitLab 向报告远程代码执行漏洞的研究员奖励 2 万美元
2020-04-30 07:44:25来源: IT之家
关注公众号
赞
你的鼓励是对作者的最大支持
- 六年未解决,部分英特尔、联想服务器仍受 2018 年 BMC 漏洞影响2024-04-16 19:52:28
- 微软发布安全指南,修改 Win10 / Win11 注册表缓解英特尔处理器“幽灵 v2”漏洞2024-04-16 12:41:18
- 微软 SharePoint 被曝安全漏洞,被黑客利用可访问、下载日志文件2024-04-13 09:57:10
- 7 名新能源车主“薅羊毛”被抓,利用系统漏洞免费充电2024-04-05 17:29:44
- 索尼 PlayStation Portal 串流掌机推送 2.06 版本更新:串流质量提升,破解漏洞已修复2024-04-03 22:37:17
- 微软重发 Edge 浏览器 123 稳定版:修复兼容性问题和 4 个零日漏洞2024-03-30 09:55:12
- 已修复,微软 Edge 浏览器漏洞被披露:可安装恶意扩展程序2024-03-30 13:01:14
- util-linux 2.40 发布,修复有 11 年历史的 wall 命令漏洞2024-03-29 11:20:47
- 谷歌:2023 年有 97 个零日漏洞被利用,同比激增 50%2024-03-27 21:33:17
- 推荐用户尽快升级,苹果公示 iOS / iPadOS 17.4.1 更新已修复漏洞细节:可执行任意代码2024-03-26 06:41:42
- 1小米汽车 SU7 广告横幅占领 2024 北京车展大门
- 236氪首发|深耕日本市场,商用清洁机器人「奇勃科技」获数千万元Pre-A轮融资
- 3中来股份:终止140亿元硅基项目
- 4Canalys:2024 年一季度华为重夺中国大陆智能手机市场第一
- 5用5G制造5G!新浪科技带你逛中兴通讯云网生态峰会
- 6广东产融等成立投资合伙企业 出资额9000万
- 7东方日升在浙江成立新能源公司 注册资本1000万
- 8“牛人聚”完成1000万元天使轮融资
- 9全球首发,中国亮相:消息称特斯拉明日发布全新 Model 3 Ludicrous 高性能版车型
- 10获数亿元战略融资,斗禾科技小家电出海营收已超10亿元|硬氪独家