VSCodeのGitHubリポジトリに対する不正なPushアクセス

テクノロジーカテゴリーの変更を依頼記事元:

blog.ryotak.me

296 usersがブックマークコメント

コメント

26

記事へのコメント26件

注目コメント
新着コメント

wapa スマホで確認してるところから脆弱性に気づいて、目立たないように立証、報告して脆弱性修正後、開示請求して開示、と実に素晴らしい。VSCodeなんていうメジャーなOSSでもこういうことあるのね。

2021/01/12 リンク

cl-gaku お正月に対応されてる…（日本人並みの感想）

2021/01/13 リンク

kotas CIスクリプトの脆弱性を突くケースは確かに見落とされがちになりそうだ

2021/01/13 リンク

peketamin 何者なんですかこのかたは…

2021/01/13 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

{{ total_bookmarks_with_user_postfix }}{{ root_title }}

VSCodeのGitHubリポジトリに対する不正なPushアクセス

はじめにMicrosoftは脆弱性の診断行為をセーフハーバーにより許可しています。本記事は、そのセーフハ... はじめにMicrosoftは脆弱性の診断行為をセーフハーバーにより許可しています。本記事は、そのセーフハーバーを遵守した上で発見/報告した脆弱性を解説したものであり、無許可の脆弱性診断行為を推奨する事を意図したものではありません。 Microsoftが運営/提供するサービスに脆弱性を発見した場合は、Microsoft Bug Bounty Programへ報告してください。要約VSCodeのIssue管理機能に脆弱性が存在し、不適切な正規表現、認証の欠如、コマンドインジェクションを組み合わせることによりVSCodeのGitHubリポジトリに対する不正な書き込みが可能だった。発見のきっかけ電車に乗っている際にふと思い立ってmicrosoft/vscodeを眺めていた所、CI用のスクリプトが別のリポジトリ(microsoft/vscode-github-triage-actions)にま

ブックマークしたユーザー

techtech05212023/05/05
sinsoku2022/05/20
heatman2021/02/11
mjtai2021/02/04
fkshom2021/01/27
sanko04082021/01/17
zhikaru2021/01/16
xef2021/01/15
kamipo2021/01/15
munieru_jp2021/01/15
urd04012021/01/14
aki772021/01/14
kabochatori2021/01/14
sudo_vi2021/01/14
amourkarin2021/01/14
efcl2021/01/14
tosebro2021/01/13
topiyama2021/01/13

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

設定を変更しましたx