在线PDF工具暴露了数万份用户上传的文件；

随着在线文档处理需求的增加，一些看似好用且免费的工具在安全性上可能并不靠谱。据Cyber News消息，两款在线PDF制工具已经暴露了数万份用户上传的文件。

这两款PDF在线工具分别为PDF Pro （pdf-pro.io） 和 Help PDF （help-pdf.com），由同一家英国公司运营，均为用户提供 PDF 转换、压缩、编辑以及签署文档功能。

研究人员发现，暴露的 Amazon S3 存储桶呈开放状态，意味着任何人都能够获取其中的数据。对其进行分析发现，这两款工具已经累计暴露了89062份文件，其中87818 份文件通过 PDF Pro 上传，1244 份文件通过 Help PDF 上传。

这些暴露的文件涉及了大量用户的敏感信息，包括、护照、驾驶执照、证书、合同以及其他一些个人文件和资料。研究人员称，通过访问这些个人文件，网络犯罪分子可以从事各种欺诈活动，例如申请贷款，出租房产或使用受害者的身份进行物品交易，甚至可以更改或伪造合同或许可证等文件，以创建虚假身份、伪造资格或操纵法律协议以谋取利益，从而可能给受害者带来法律问题。

针对暴露的存储桶，Cyber News提出了如下缓解措施：

• 立即限制对存储桶的公有访问

• 更改存储桶策略和访问控制列表 （ACL） 以仅将访问权限限制为授权用户或应用程序

• 确保存储桶中的所有对象都设置为私有或配置了适当的访问控制

• 在存储桶上启用服务器端加密，以保护静态数据。管理员可以根据自己的要求在 SSE-S3、SSE-KMS 或 SSE-C 之间进行选择

对于用户而言，虽然不少PDF在线工具都会声明会对用户文件保护，包括会加密存储并在用户处理完文件后删除，但显然，其中一些工具仍然会保留用户文件，因此建议用户不要将个人敏感文件上传至网络。

官方强烈建议升级，GitLab又曝严重的账户接管漏洞

7月10日，GitLab警告称，其产品GitLab社区和企业版本中存在一个严重漏洞，允许攻击者以任何其他用户的身份运行管道作业。

GitLab DevSecOps平台拥有3000多万注册用户，活跃用户数仅次于 GitHub，超过50%的财富100强公司都在使用该平台，包括T-Mobile、高盛、空客、洛克希德·马丁、英伟达和瑞银。

在昨天发布的安全更新中，修补的漏洞被追踪为CVE-2024-6385，CVSS评分为9.6分(满分10分)。它影响所有GitLab CE/EE版本，从15.8到16.11.6，17.0到17.0.4，17.1到17.1.2。

在GitLab尚未披露漏洞某些信息的情况下，攻击者可以利用该漏洞作为任意用户触发新的管道。GitLab管道是一个持续集成/持续部署(CI/CD)系统功能，允许用户自动并行或顺序运行流程和任务，以构建、测试或部署代码更改。

为解决这一严重安全漏洞，GitLab发布了GitLab社区和企业版本17.1.2、17.0.4和16.11.6。该公司强烈建议所有安装运行受以上问题影响的版本尽快升级到最新版本，GitLab.com和GitLab Dedicated已经在运行补丁版本。

账户接管漏洞在攻击中被积极利用

6月底，GitLab修复了一个与CVE-2024-6385几乎相同的漏洞CVE-2024-5655，该漏洞也可能被利用来作为其他用户运行管道。

一个月前，GitLab还修复了一个高严重性漏洞CVE-2024-4835，该漏洞允许未经身份验证的攻击者在跨站点脚本(XSS)攻击中接管帐户。

5月份，CISA发出警告，未经身份验证的攻击者也在积极利用1月份修补的另一个零点击GitLab漏洞CVE-2023-7028通过重置密码来劫持帐户。

今年1月，Shadowserver发现5300多个易受攻击的GitLab实例暴露在网络上，目前仍有不到一半(1795个)的实例可以访问。

攻击者以GitLab为目标，大概率是因为它托管各种类型的企业敏感数据，包括API密钥和专有代码，一旦遭到破坏，托管项目的完整性和机密性将面临重大风险。

这包括供应链攻击，如果威胁行为者在CI/CD(持续集成/持续部署)环境中插入恶意代码，被破坏组织的存储库岌岌可危。

文章来源 ：freebuf

精彩推荐

乘风破浪|华盟信安线下网络安全就业班招生中！

【Web精英班·开班】HW加油站，快来充电！

‍

始于猎艳，终于诈骗！带你了解“约炮”APP

‍