安全公司 Positive Technologies 曾发现反勒索备份服务 Code42 存在 XML 外部实体漏洞,近日据外媒报道,研究员将此漏洞上报后,由 Uber 为合作公司支付了漏洞赏金 9,000 美元。
安全公司 Positive Technologies 的渗透测试员 Vladimir Ivanov 发现,反勒索软件备份服务 Code42 存在的 XML 外部实体漏洞能够获得所有用户的备份访问权限、窃取使用该服务的组织(含 Uber、Adobe 和 Lockheed Martin 等)的数据。
由于检测结果显示漏洞涉及 Uber 且 Code42 并无漏洞赏金计划,Ivanov 选择通过 HackerOne 向 Uber 报告了这一漏洞,后者核实后确认它是一个 0day 随后也通知了 Code42 及时修复。Code42 方面则要求 Ivanov 等待所有客户更新完毕后方可披露漏洞细节。
from hackernews.cc.thanks for it.