Reddit中的简单IDOR漏洞允许恶作剧者执行mod操作

Reddit中的一个漏洞允许攻击者在没有适当权限的情况下执行版主操作或将普通用户提升到mod状态。该漏洞可能导致各种恶作剧,因为Reddit模组有权执行固定或删除帖子、禁止其他用户和编辑subreddit信息等操作。

 

正如在最近的HackerOne 告中所详述的那样,一个拥有“high_ping_ninja”句柄的漏洞猎手发现Reddit在尝试通过GraphQL访问mod日志时未能检查用户是否是特定subreddit的版主。

“您可以将参数subredditName更改为任何公开或受限的目标subreddit名称,并可以访问该subreddit的mod日志,”他们解释说。

8月3日报告了不安全的直接对象引用(IDOR)错误,并在同一天修复。

“根据我们的计划政策,我将严重程度提高到高,”Reddit分类小组的一名成员在披露说明中说。

研究人员因这一发现获得了5000美元的漏洞赏金。

发表评论

评论已关闭。

相关文章