Интернет
Николай Чумаков

Во «ВКонтакте» нашли баг, позволяющий публиковать в пабликах любые видео в обход администраторов

Можно опубликовать ролик в сообществе, где открыта функция «Предложить новость». В соцсети заявили, что уже это исправили.

Видео, опубликованное пользователем, у которого нет прав администратора паблика Скриншот тестового сообщества

Во «ВКонтакте» обнаружили уязвимость, позволяющую опубликовать любое видео в сообществе без ведома администраторов. Пользователи могут сделать это через раздел «Предложенные новости» — никто из руководства паблика не получит об этом уведомление. Об этом рассказал читатель TJ, пожелавший остаться анонимным.

По словам читателя, он обратил внимание на баг, когда в его сообществе со 135 тысячами подписчиков появилось два коротких ролика. Оба видео опубликовал пользователь без прав администрации через форму «Предложить новость». В истории изменений поста было указано имя автора без информации о том, кто из редакторов его опубликовал.

Как я понимаю, функции закрыть предложенные новости вообще не существует. Теоретически такое можно провернуть в абсолютно любом открытом сообществе во «ВКонтакте».

У нас чуть больше 100 тысяч подписчиков, а в сообществах с миллионами читателей можно ночью начать постить такие вещи, что будет совсем беда.

читатель TJ, обнаруживший баг

Подробнее о том, как работает уязвимость:

  • Читатель повторил баг с предложенными новостями в тестовом сообществе. Без доступа к настройкам и без прав редактора он смог опубликовать несколько роликов любой длительности;
  • Чтобы баг сработал, достаточно просто загрузить видео к себе на страницу и повторить последовательность действий в разделе «Предложить новость»;
  • Для того, чтобы опубликовать любое видео в любом паблике, не нужно открывать код страницы, залезать в код «ВКонтакте» или иметь навыки программиста;
  • Редактор TJ повторил то же самое по его инструкции в другом паблике — уязвимость снова сработала.

Читатель также рассказал, что изначально не планировал публично рассказывать о баге и обращался в техподдержку «ВКонтакте». Несмотря на общедоступность уязвимости, там несколько раз пообещали «посмотреть и что-то придумать», но больше ничего не ответили. Скриншоты переписки есть в распоряжении TJ. Он также опубликовал информацию о баге в HackerOne, где ветку с обсуждением закрыли с формулировкой о дубликате.

Описание бага с предложенными новостями во «ВКонтакте» Скриншот сайта HackerOne

TJ обратился за комментарием в пресс-службу «ВКонтакте», где сообщили, что исправили уязвимость. И пообещали выплатить читателю TJ вознаграждение за найденный баг.

Уязвимость была исправлена, благодарим пользователя за фидбек.

Вопрос ушёл в работу после первого сообщения пользователя. Агенты Поддержки сразу же сообщили о проблеме разработчикам, но для её решения понадобилось время.

пресс-служба «ВКонтакте»

Читатель TJ подтвердил, что администрация «ВКонтакте» поправила баг — ему не удалось повторить его ни в мобильной, ни в десктопной версии.

Как понимаю, проблема была в том, что в «ВКонтакте» не до конца предусмотрели настройки приватности при заливке видео (достаточно было без сохранения закрыть вкладку со страницей с новым видео).


После этого дело оставалось за малым: выбираем сообщество, предлагаем видео через форму «Предложить новость», возвращаемся к нашему видео и пытаемся его опубликовать с выбранной галочкой «Опубликовать на моей странице».

Остался вопрос: почему вместо функции «Опубликовать на моей странице» срабатывала автоматическая публикация в чужом сообществе? При этом в профиле видео оставалось неопубликованным.

читатель TJ, обнаруживший баг

#неполадки #уязвимости #вконтакте #соцсети #новости