あるハッカーが、招待を承諾する前にユーザーのメールアドレスを公開し、招待の応答から個人のメールアドレスが漏洩しました。
攻撃者は、招待を承諾する前、あるいは承諾した後であっても、GraphQLの応答から個人のメールアドレスを抽出できる可能性があります。
この脆弱性はGitHubの研究者によって発見されました。
7,500ドルの賞金:HackerOneでユーザーのメールアドレスを公開 from infosecwriteups.com
security summaryあるハッカーが、招待を承諾する前にユーザーのメールアドレスを公開し、招待の応答から個人のメールアドレスが漏洩しました。
攻撃者は、招待を承諾する前、あるいは承諾した後であっても、GraphQLの応答から個人のメールアドレスを抽出できる可能性があります。
この脆弱性はGitHubの研究者によって発見されました。
コメント