报告 #3243860 - 微软 x-apikey 在 Mozilla CI 公共日志中暴露
摘要
在公开可访问的 Mozilla CI 日志中发现了一个微软遥测 API 密钥(x-apikey)。该密钥出现在自动化 Firefox 测试期间发送到微软遥测端点的 HTTP POST 请求中,并通过 mitmproxy 日志捕获。
虽然安全影响很小(功能有限的遥测 API 密钥)且该报告被认为超出我们计划的范围,但我们采取了行动将 mitmproxy.log 工件移动到内部存储,以防止未来的凭证泄漏。因此,我们接受了该报告并支付了奖金以认可报告者的努力。
时间线
- 2025年7月9日 19:56 UTC - 已完成身份验证的黑客 xhacking_z 向 Mozilla 提交报告
- 2025年7月9日 20:03 UTC - xhacking_z 更新了漏洞信息
- 2025年7月10日 02:19 UTC - HackerOne 分析师 elliot 将状态更改为"需要更多信息"
- 2025年7月10日 13:42 UTC - xhacking_z 将状态更改为"新建"
- 2025年7月10日 13:49 UTC - xhacking_z 发表评论
- 2025年7月11日 05:33 UTC - HackerOne 分析师 zenitsu 关闭报告并将状态更改为"信息性"
- 2025年7月22日 14:38 UTC - Mozilla 奖励 xhacking_z 200美元奖金
- 2025年7月22日 18:15 UTC - xhacking_z 发表评论
- 2025年7月22日 18:18 UTC - xhacking_z 发表评论
- 2025年7月23日 07:44 UTC - Mozilla 员工 frida-k 发表评论
- 2025年7月23日 11:55 UTC - xhacking_z 发表评论
- 2025年7月23日 12:39 UTC - Mozilla 员工 frida-k 更改范围
- 2025年7月23日 13:06 UTC - Mozilla 员工 frida-k 重新打开此报告
- 2025年7月23日 13:06 UTC - Mozilla 员工 frida-k 关闭报告并将状态更改为"已解决"
- 2025年8月16日 00:38 UTC - xhacking_z 请求披露此报告
- 2025年8月20日 08:12 UTC - Mozilla 员工 frida-k 取消披露请求
- 2025年9月30日 21:28 UTC - xhacking_z 请求披露此报告
- 2025年9月30日 21:42 UTC - xhacking_z 发表评论
- 2025年10月1日 11:15 UTC - Mozilla 员工 frida-k 取消披露请求
- 2025年10月1日 13:55 UTC - xhacking_z 发表评论
- 2025年10月29日 07:26 UTC - xhacking_z 请求披露此报告
- 15天前 - Mozilla 员工 frida-k 发表评论
- 14天前 - xhacking_z 发表评论
- 10天前 - Mozilla 员工 frida-k 同意披露此报告
- 10天前 - 此报告已被披露
- 10天前 - Mozilla 已锁定此报告
报告详情
- 报告时间:2025年7月9日 19:56 UTC
- 报告者:xhacking_z
- 报告对象:Mozilla
- 报告ID:#3243860
- 状态:已解决
- 严重程度:中等(5.3)
- 披露时间:2025年11月3日 10:34 UTC
- 弱点:敏感信息的明文存储
- CVE ID:无
- 赏金:200美元
- 账户详情:无
