18歲大學生找出Google App Engine重大RCE漏洞,抱走3.6萬美元獎金

一名年僅18歲的大學生因為揭露了Google App Engine重大的遠端程式碼執行(remote code engine, RCE)漏洞,而獲得Google頒發$36,337美元的獎金

Google App Engine (GAE) 是Google雲端代管運行及開發客戶web app的平台。這名現在就讀烏拉圭民主大學的學生Ezequiel Pereira今年2月使用GAE時準備上傳其開發的app時,無意間成功登入GAE測試用的部署環境,發現該平台針其特定呼叫回傳的訊息暴露了內部的API。之後經過幾次測試,他已能對代管於其上的app執行一般外部使用者無法執行的行為。

他於是經過Google的漏洞獎勵方案回報,Google隨後回應認為該漏洞為RCE漏洞,重要性列為P1 ,P1是指稱漏洞影響廣大用戶,需儘速修補。這名大學生持續測試其他API的同時,接到Google要求他停止測試的訊息,因為「利用這些內部API可能輕易造成毁損。」到3月為止,他經由這個漏洞一共發現2個內部API。

根據Google漏洞獎勵方案,發現RCE漏洞可獲得$31,337美元獎金。

連同該RCE漏洞Pereira還通報了另一項風險較小、價值5,000美元的漏洞。總計他獲得Google的獎金為$36,337美元。Google已在5月16日修補了這項RCE漏洞。

原文來自 iThome Online