Un chercheur a révélé les détails d’une série de vulnérabilités qui auraient pu être exploitées par un attaquant pour accéder aux pages privées d’une organisation sur GitHub.

Les pages GitHub sont un service que les individus et les organisations peuvent utiliser pour héberger des sites Web. Les sites peuvent être hébergés sur un domaine personnalisé ou sur le domaine github.io, et le code du site Web provient directement d’un référentiel GitHub privé ou public. Les pages elles-mêmes peuvent également être privées ou publiques.

Au cours du week-end, le chercheur Robert Chen a publié un article de blog détaillant une chaîne de vulnérabilités que lui et un autre pirate informatique ont découvert l’année dernière dans GitHub Pages.

Le problème a été signalé en mai 2020 et corrigé en juin 2020. GitHub a attribué à l’exploit une cote de gravité élevée et a attribué aux chercheurs 20 000 $, ainsi qu’un bonus de 15 000 $, qui est l’une des primes de bogue les plus élevées accordées par la société.

Selon Chen, l’exploit était lié au flux d’authentification utilisé pour les pages privées et impliquait un type de vulnérabilité inhabituel appelé injection CRLF (Carriage Return Line Feed), qui a conduit à une attaque de script intersite (XSS). Un problème d’empoisonnement du cache aurait pu permettre à un attaquant de mettre la charge utile XSS en cache et de la livrer aux utilisateurs qui n’ont pas directement interagi avec elle – le déclenchement d’une vulnérabilité XSS nécessite généralement que la cible accède à un lien ou une page malveillants.

L’attaque impliquait également ce que le chercheur a décrit comme des «pages publiques-privées», qui se réfèrent à des référentiels publics ayant des pages «privées». Cela peut se produire lorsqu’une organisation dispose d’un référentiel privé avec une page privée, mais décide ultérieurement de rendre le référentiel public – la page associée reste «privée», mais elle est en fait publique pour tout le monde.

Les chercheurs ont déterminé qu’un attaquant non privilégié de l’extérieur de l’organisation ciblée pouvait abuser de ces pages publiques-privées pour «compromettre …