นักวิจัยด้านความปลอดภัย Riccardo "rpadovani" Padovani ได้เปิดเผยช่องโหว่ซึ่งเกิดจากการที่ GitLab ไม่ได้นำโค้ดในส่วนที่เป็น Elasticsearch Search API ออกในกระบวนการเปลี่ยนการตั้งค่าจากโครงการ public เป็นโครงการแบบ private ซึ่งส่งผลให้โค้ดในโครงการซึ่งเป็น private แล้วจะยังสามารถถูกค้นหาได้ผ่าน API นี้
หลังจากที่ Riccardo มีการแจ้งช่องโหว่ไปในเดือนพฤศจิกายน 2019 ทาง GitLab ได้มีการปล่อยรุ่น 12.5.4 ซึ่งมีการแก้ไขปัญหานี้แล้ว จากการค้นพบดังกล่าว Riccardo ได้เงินรางวัลจากช่องโหว่เป็นจำนวนเงินประมาณ 90,000 บาท ผ่านทางแพลตฟอร์ม HackerOne
ที่มา : Zdnet
You must be logged in to post a comment.