Bir güvenlik araştırmacısı, bir sunucudan hassas bilgiler elde etmek ve rasgele kod yürütmek için kullanılabilecek kritik bir güvenlik açığını bildirerek GitLab’dan 20.000 dolar kazandı.
Güvenlik açığı, Mart ayında William Bowling tarafından keşfedildi ve bir saldırganın bir görev yönetimini (issue) bir GitLab projesinden diğerine taşıyarak bir sunucudan rasgele dosyalar alabileceğini fark etti. Kusur, UploadsRewriter işlevindeki dosya adları için doğrulama olmamasından kaynaklanıyordu.
Bir saldırganın, yapılandırmaları, belirteçleri ve diğer özel verileri depolamak da dahil olmak üzere sunucudan rasgele dosyaları okumak için güvenlik açığından nasıl yararlanabileceğini gösterdi.
Bulgularını şirketin HackerOne’daki hata ödül programı aracılığıyla GitLab’a bildirdikten sonra , Bowling sorunu analiz etmeye devam etti ve bunun uzaktan kod yürütülmesine de yol açabileceğini keşfetti.
Kusurun hem yerel GitLab kurulumlarını hem de gitlab.com’u etkilediği bulundu. GitLab geliştiricilerinin işaret ettiği gibi , bir saldırgan kendi projelerini veya gruplarını oluşturarak ve bir görev yönetimini (issue) bir projeden diğerine taşıyarak bu güvenlik açığından yararlanabilir.
Güvenlik açığı gün içinde araştırmacının bulguları için 20.000 dolar ödül vermeye karar veren GitLab tarafından düzeltildi. Raporda güvenlik açığını tanımlandı ve bu hafta kamuya açıldı.
Son aylarda Bowling, birkaç kritik ve yüksek önem derecesine sahip güvenlik açığı nedeniyle GitLab’dan toplam 50.000 dolardan fazla kazandı . GitLab, Aralık 2019’da geçtiğimiz yıl yaptığı hata ödül programı aracılığıyla yarım milyon doların üzerinde ödeme yaptığını bildirdi