GitLab 向报告远程代码执行漏洞的研究员奖励 2 万美元

图片地址：https://img.ithome.com/newsuploadfiles/2020/4/20200430074319_8343.jpg

GitLab 向报告自家平台的严重远程代码执行漏洞的安全研究人员奖励了 2 万美元。该漏洞由 William "vakzz" Bowling 发现，Bowling 既是一名程序员同时也是 Bug 赏金猎人，他于3月23日通过 HackerOne Bug 赏金平台私密披露了该漏洞。Bowling 表示，GitLab 的 UploadsRewriter 函数用于拷贝文件，而这正是此次严重安全问题的源头。当 issue 被用于跨项目复制时，UploadsRewriter 函数会检查文件名和补丁。然而在这过程中由于没有验证检查，导致出现路径遍历问题，这可能会被利用于复制任何文件。根据 Bug 赏金猎人的说法，如果漏洞被攻击者利用，则可能会被用于"读取服务器上的任意文件，包括 token、私有数据和配置"。GitLab 实例和 GitLab.com 域均受到该漏洞的影响，此漏洞被 Hack