安全研究人员haxta4ok00在HackerOne平台发现GraphQL接口存在严重信息泄露漏洞。攻击者可通过/graphql端点访问私有项目的PolicyPageAssetGroup数据,无需任何身份验证。漏洞影响多个私有项目,可能导致敏感配置信息外泄。经上报后,该漏洞获$7500美元赏金奖励。建议平台限制GraphQL查询权限,实施严格访问控制机制。
🔗 原文链接:https://x.com/luckyhacker43/status/2072734202517225853
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END







