VSCodeのGitHubリポジトリに対する不正なPushアクセス

はじめにMicrosoftは脆弱性の診断行為をセーフハーバーにより許可しています。 本記事は、そのセーフハーバーを遵守した上で発見/報告した脆弱性を解説したものであり、無許可の脆弱性診断行為を推奨する事を意図したものではありません。 Microsoftが運営/提供するサービスに脆弱性を発見した場合は、Microsoft Bug Bounty Programへ報告してください。 要約VSCodeのIssue管理機能に脆弱性が存在し、不適切な正規表現、認証の欠如、コマンドインジェクションを組み合わせることによりVSCodeのGitHubリポジトリに対する不正な書き込みが可能だった。 発見のきっかけ電車に乗っている際にふと思い立ってmicrosoft/vscodeを眺めていた所、CI用のスクリプトが別のリポジトリ(microsoft/vscode-github-triage-actions)にま

[wapa]

スマホで確認してるところから脆弱性に気づいて、目立たないように立証、報告して脆弱性修正後、開示請求して開示、と実に素晴らしい。VSCodeなんていうメジャーなOSSでもこういうことあるのね。

[cl-gaku]

お正月に対応されてる…（日本人並みの感想）

[kotas]

CIスクリプトの脆弱性を突くケースは確かに見落とされがちになりそうだ

[peketamin]

何者なんですかこのかたは…

[tattyu]

不正なコードが埋め込まれたvscodeがリリースされてたかもと思うと中々ゾッとしますな。

[efcl]

GitHub Actions/CI上でのコマンドインジェクションでGITHUB_TOKENを取得できた話

[khtokage]

Twitterのフリートの脆弱性発見した方か。相変わらず凄いなぁ。

[Malan]

はえ〜、うまいこと検証してるなあ

[castaneai]

過程が丁寧に説明されてておもしろかった

[hamaco]

すごい、報告までの流れもめっちゃしっかりしてる…。

[z1h4784]

今この記事を読んでギョッとしてる開発者の数すげー多そう。ワイもその一人や！非公開リポジトリやから対策はせん！

[yarumato]

“電車の中なのでスマホでGitHubの検索機能を用いてコードを読む。CIのスクリプトにコマンドインジェクションできそう。一般ユーザーでも脆弱性を突けると判明したため実際に突いてみる。後すぐにMicrosoftへ報告”

[murs313]

ハッカーって感じだ。かっこいい。

[door-s-dev]

いくら貰えるんだろう

[maruware]

かっこいい

[tyage]

おもしろ

[raimon49]

検証だけでなくそこに至る思考の流れまで言語化されていてすごい。

[shoh8]

脆弱性の発見と対応と時系列が整理されてる

[ya--mada]

write-up

[gfx]

面白かった。

[kazkun]

素晴らしいまとめ。

[cocoasynn]

フリートのやつを見つけた方だ、すごすぎる

[hitoyasu]

"電車に乗っている際にふと思い立って"

[h5y1m141]

このエントリもだけど、過去のTwitterのやつも面白い！たまたま最近図書館でリアルワールドバグハンティング借りて読んだ所だったので何となく個人的にタイムリーだった

[mapk0y]

面白い

[chanyou0311]

めちゃおもしろい