在24小时内修复了错误,并授予了5,000美元的Bug Bounty
REDDIT中的漏洞使攻击者能够执行主持人动作或将常规用户提升到MOD状态,而无需适当的权限。
由于Reddit Mod有幸执行PIN或删除帖子,禁止其他用户并编辑SubReddit信息,因此漏洞可能允许各种恶作剧。
正如最近的一个Hackerone报告,一个带有“ High_ping_ninja”的错误猎人发现Reddit尝试通过GraphQl访问MOD LOGS时,无法检查用户是否是特定subreddit的主持人。
“您可以更改参数subredditname对于任何是公共或受限制的目标子雷迪特名称,并可以访问该子雷迪特的mod日志。”他们解释说。
当天修复
不安全的直接对象参考(书架)报告于8月3日报告,并在同一天修复。
Reddit Triage团队的一位成员在披露说明中说:“根据我们的计划政策,我的严重程度提高到了高度。”
该研究人员被授予了5,000美元的虫子赏金。