Reddit’teki basit IDOR güvenlik açığı, yaramazlık yapanların mod eylemleri gerçekleştirmesine izin verdi


James Walker 09 Ağustos 2022, 12:55 UTC

Güncelleme: 09 Ağustos 2022, 12:56 UTC

24 saat içinde hata düzeltildi ve 5.000 $ hata ödülü verildi

Reddit'teki basit IDOR güvenlik açığı, yaramazlık yapanların mod eylemleri gerçekleştirmesine izin verdi

Reddit’teki bir güvenlik açığı, saldırganların moderatör eylemleri gerçekleştirmesine veya normal kullanıcıları uygun izinler olmadan mod durumuna yükseltmesine izin verdi.

Reddit modları, gönderileri sabitleme veya kaldırma, diğer kullanıcıları yasaklama ve alt dizin bilgilerini düzenleme gibi eylemleri gerçekleştirme ayrıcalığına sahip olduğundan, kusur her türlü yaramazlığa izin verebilirdi.

En son bilgisayar korsanlığı haberlerinin devamını okuyun

Yakın tarihli bir HackerOne raporunda ayrıntılı olarak açıklandığı gibi, ‘high_ping_ninja’ tanıtıcısına sahip bir hata avcısı, Reddit’in, GraphQL aracılığıyla mod günlüklerine erişmeye çalışırken kullanıcının belirli bir alt dizinin moderatörü olup olmadığını kontrol edemediğini tespit etti.

“Parametreyi, herkese açık veya kısıtlı herhangi bir hedef alt dizin adıyla değiştirebilir ve bu alt dizinin mod günlüklerine erişebilirsiniz” diye açıkladılar.

Aynı gün düzeltme

Güvenli olmayan doğrudan nesne başvurusu (IDOR) hatası 3 Ağustos’ta rapor edildi ve aynı gün düzeltildi.

Reddit triyaj ekibinin bir üyesi açıklama notlarında “Program politikamıza dayanarak şiddeti yüksek seviyeye çıkardım” dedi.

Araştırmacı, bulgu için 5.000 dolarlık bir böcek ödülü aldı.

KAÇIRMAYIN Pwn yıldızları: Tüm zamanların en iyi Black Hat ve DEF CON konuşmaları



Source link