ИБ-эксперт Уильям Боулинг заработал 20 тыс. долларов, обнаружив критическую уязвимость в GitLab, которая позволяла добиться выполнения произвольного кода или похитить конфиденциальные данные с сервера.
Баг был обнаружен в марте. Тогда эксперт заметил, что возможно получить произвольные файлы с сервера при перемещении issue из одного проекта GitLab в другой. Проблема была обусловлена отсутствием валидации имен файлов в функции UploadsRewriter.
Боулинг показал в своём отчёте, что хакер может эксплуатировать эту проблему, чтобы читать произвольные файлы с сервера, включая файлы конфигурации, токены и пр.
Специалист обнаружил, что баг также может привести к удалённому выполнению произвольного кода. Недостаток распространялся и на локальные установки GitLab, и на gitlab.com.
В GitLab отметили, что киберпреступник мог эксплуатировать эту уязвимость, просто создав собственный проект или группу, перемещая issue из одного проекта в другой.
Разработчики GitLab исправили уязвимость через несколько дней после получения сообщения. В качестве вознаграждения Уильяму Боулингу выплатили 20 тыс. долларов.
За весь 2019 год GitLab выплатила ИБ-исследователям более полумиллиона долларов в рамках своей программы по вознаграждению за обнаруженные уязвимости.
