HackerOneレポート確認 ~NextCloud

前回宣言した通り、

NextCloudのバグバウンティをするために、現在確認されているレポートを確認してみます。

 

 

参考:https://hackerone.com/nextcloud/hacktivity

 

とりあえず検索で出てきた数件を確認

 


Missing ownership check on remote wipe endpoint:High:$500.00

参考:https://hackerone.com/reports/819807

【内容】

存在していた脆弱性には、URLにdata-IDが振られて管理されていた

 

2ユーザでそれぞれアカウントを作り、片側でデバイスの削除を行う

その際、Burpでリクエストを止め、data-IDをもう一方のアカウントに差し替えると、別アカウントのデバイスを削除してしまえる

data-IDが削除を行おうとしている自身のものであることを確認していなかったことが原因


User can delete data in shared folders he's not autorized to access:Medium:$250.00

参考:https://hackerone.com/reports/642515

【内容】

admin_groupとtest_groupに属するグループフォルダTESTを作成

TEST--

        |-visible

        |-invisible--

                        |-test.txt

 

この状態で、test_groupに対してinvisibleフォルダの権限を、

読み込み書き込みその他もろもろを許可しない設定にする

 

この状態でtest_groupに属するtestユーザでログインすると、

visibleフォルダしか表示されていない

 

この状態で、invisibleフォルダを作成すると、エラーになるだけである

 

しかし、新しtmpフォルダおよびtest2.txtファイルを作成すると、オンライン上にSynchされ、その後tmpフォルダの名前をinvisibleとすると、online上にもともとあったinvisibleフォルダをtmpの内容で上書きしてしまう

 

リネーム後の名前が同一だった場合の処理にバグがあった例

 


Code injection in macOS Desktop Client:Low

参考:https://hackerone.com/reports/633266

【内容】

すいませんちょっとわかりませんでした。。。


Access to all files of remote user through shared file:Medium:$750.00

参考:https://hackerone.com/reports/258084

【内容】

前も見たやつですね

UserAがmovie.mp4をuserBと共有し、

UserBがファイルにアクセスするためにwebdavを使う

共有されたファイルが通常のファイルとして見える

webdav上でそのファイルをコピーして同じフォルダ上にペーストする

すると、共有したファイルを含むフォルダ全体が新規で作成されてしまう

作成されたファイルにもアクセス可能

ファイルのコピペ系での動作不具合


"Secure View" aka "Hide Download" can be bypassed easily:High:$100.00

参考:https://hackerone.com/reports/788257

【内容】

ダウンロードが禁止されたファイルに対しても、

/downloadをURLに入れるだけで簡単にダウンロードが可能になってしまう

ロールによって実行できるできないがあった場合でも、URLによる制御をする場合は確認が必要

 

Self xss:Low

参考:https://hackerone.com/reports/388527

【内容】

以下URLにペイロード部分を追加することでXSSができてしまう

https://nextcloud.com/about/

</title>"><script>alert(205)</script>'"><marquee><h1>nextcloud.com</h1></marquee>


File-drop content is visible through the gallery app:Medium:$500.00
参考:https://hackerone.com/reports/719426

【内容】

file-dropという機能で、データのアップロードのみを許可する設定を入れる

それにもかかわらず、garelly機能でアップロードしたデータが見えてしまう

とある機能で制限した権限が、他の機能ではスルーされてしまった例

 

 

Remote code execution via path traversal in Zip extraction in the Extract app:High

参考:https://hackerone.com/reports/765291

【内容】

 


[Reflected XSS] In Request URL:Low:$50.00

参考:https://hackerone.com/reports/515484

【内容】

ソースコード解析で、以下のコードが含まれている

<a class="button" href="<?php echo str_replace('/index.php', '/../', $updaterUrl); ?>">

 

こちらでは、以下のPOSTでXSSができてしまう

POST /updater/index.php/h"><script>alert(1);</script> HTTP/1.1

Host: vulns.local

Content-Type: application/x-www-form-urlencoded

Content-Length: 33

 

updater-secret-input={OUR_SECRET}

 

静的解析をすることで、脆弱性を見つけることが可能な例

 

 

 

今回のレポートに関するまとめを次の記事で簡単にまとめようと思います。

そこから、バグバウンティの進め方を決めようかと。

 

 

以上