Під час налаштування функцій у Google Groups я натрапив на цікаву проблему, яка стала класичним прикладом порушення контролю доступу.
Ця уразливість дозволяла звичайному учаснику групи обійти обмеження на вкладення файлів, просто надіславши електронний лист на адресу групи, навіть коли налаштування чітко вказували, що лише власники можуть завантажувати файли. Це стало можливим через непомітну помилку в системі контролю доступу, що могло мати серйозні наслідки, особливо для закритих або чутливих груп, які використовуються в бізнесі, навчальних закладах чи серед внутрішніх команд.
У Google Groups адміністратори (власники) мають можливість обмежувати, хто може публікувати повідомлення, додавати вкладення та виконувати інші дії. Одним із таких обмежень є параметр “Attach files” (Додавати файли), який може бути налаштований так, щоб лише власники групи могли завантажувати файли. Однак, коли у групі активовано функцію “Allow Email Posting” (дозволяє учасникам надсилати електронні листи на адресу групи через [email protected]), система не перевіряє обмеження на додавання вкладень. Як результат, навіть якщо дозвіл на завантаження файлів був встановлений на тільки для власників, звичайні учасники могли надіслати електронний лист із прикріпленим файлом, і він успішно публікувався разом із вкладенням.
Цю уразливість було подано до Google VRP, але її визнали дубльованою. Незважаючи на це, я вирішив поділитися цією інформацією для навчальних цілей і задокументувати процес.
Контакти:
Електронна пошта: [email protected]
Twitter: https://x.com/PhHitachi
LinkedIn: www.linkedin.com/in/phhitachi
Перекладено з: Bypass File Attachment Restrictions in Google Groups via Email Posting | Bug Bounty