Replit закрыл уязвимость в developer API: полный доступ к чужим repl'ам

Replit получает много отчётов об уязвимостях — и это логично: их основной продукт строится на удалённом выполнении кода (RCE). Большинство репортов оказываются ложными срабатываниями, но команда к ним относится серьёзно.

Чтобы отсеять шум и привлечь реальных исследователей, в начале года запустили bounty: $1000 за чтение секрета или правку файла в тестовом repl. Интерес был высоким, попыток много — и всё затихло.

Пока PDanielY не ковырялся в developer API (закрытая альфа). При попытке запустить публичный репо с альтернативного аккаунта он заметил, что основной аккаунт подключился к repl и получил полный доступ к файлам. Причина — устаревший метод генерации токенов при доступе к repl'ам других пользователей: вместо временного прозрачного форка выдавался полный доступ к исходному repl.

Replit отозвали все developer-токены, проверили логи — эксплуатировал баг только PDanielY. В альфе мало разработчиков, массового взлома не было.

Источник: We've Been Pwned — Replit Blog