Prosta podatność Path Traversal w GitLabie warta ~85 000 PLN

Zgłoszenie możecie znaleźć tutaj. Problem występował przy przenoszeniu zgłoszenia (issue) z jednego projektu do drugiego. Kiedy w oryginalnym zgłoszeniu mieliśmy wskazaną ścieżkę do pliku na serwerze, podczas kopiowania był on przenoszony do docelowego projektu.

Wystarczyło więc przygotować zgłoszenie i w jego opisie dać np. taką zawartość:

![a](/uploads/11111111111111111111111111111111/../../../../../../../../../../../../../../etc/passwd)

Po przeniesieniu zgłoszenia, plik z serwera gitlab.com lądował w nowym projekcie. Za tę podatność przyznano jedynie $1000. Ale dociekliwość badacza opłaciła się – wyciągając odpowiedni klucz z filesystemu pokazał, że możliwe jest przesłanie w ciasteczku zserializowanej wartości do serwera. Podczas deserializacji wykonywał się już dowolny kod na docelowym serwerze. Taki PoC podniósł już nagrodę do $20 000.

–ms