gitlab漏洞系列-项目组成员越权收到邀请


背景
复现步骤


声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。

背景
harbitz于2020年提交了这个漏洞: 在向项目导入组成员时，可以选择Import (/project_members/ Import)来从您拥有的其他项目中导入成员。通过使用另一个公共项目ID更改source_project_id参数，该项目的所有成员将收到一个邀请。

复现步骤
1.导航至https://gitlab.com///-/project_members/import

2.从下拉列表中选择一个项目

3.单击导入项目成员

4.将source_project_id参数修改为另一个公共项目(例如GitLab项目，278964)

5.source_project_id的所有成员都将收到一个邀请。

作者：richardo1o1

欢迎关注微信公众号 ：迪哥讲事