James Walker 09 Ağustos 2022, 12:55 UTC
Güncelleme: 09 Ağustos 2022, 12:56 UTC
24 saat içinde hata düzeltildi ve 5.000 $ hata ödülü verildi
Reddit’teki bir güvenlik açığı, saldırganların moderatör eylemleri gerçekleştirmesine veya normal kullanıcıları uygun izinler olmadan mod durumuna yükseltmesine izin verdi.
Reddit modları, gönderileri sabitleme veya kaldırma, diğer kullanıcıları yasaklama ve alt dizin bilgilerini düzenleme gibi eylemleri gerçekleştirme ayrıcalığına sahip olduğundan, kusur her türlü yaramazlığa izin verebilirdi.
En son bilgisayar korsanlığı haberlerinin devamını okuyun
Yakın tarihli bir HackerOne raporunda ayrıntılı olarak açıklandığı gibi, ‘high_ping_ninja’ tanıtıcısına sahip bir hata avcısı, Reddit’in, GraphQL aracılığıyla mod günlüklerine erişmeye çalışırken kullanıcının belirli bir alt dizinin moderatörü olup olmadığını kontrol edemediğini tespit etti.
“Parametreyi, herkese açık veya kısıtlı herhangi bir hedef alt dizin adıyla değiştirebilir ve bu alt dizinin mod günlüklerine erişebilirsiniz” diye açıkladılar.
Aynı gün düzeltme
Güvenli olmayan doğrudan nesne başvurusu (IDOR) hatası 3 Ağustos’ta rapor edildi ve aynı gün düzeltildi.
Reddit triyaj ekibinin bir üyesi açıklama notlarında “Program politikamıza dayanarak şiddeti yüksek seviyeye çıkardım” dedi.
Araştırmacı, bulgu için 5.000 dolarlık bir böcek ödülü aldı.
KAÇIRMAYIN Pwn yıldızları: Tüm zamanların en iyi Black Hat ve DEF CON konuşmaları