18岁大学生找出Google App Engine重大RCE漏洞抱走3.6万美元奖金

Google

一名年仅18岁的大学生因为揭露了Google App Engine重大的远端程式码执行（remote code engine, RCE）漏洞，而获得Google颁发$36,337美元的奖金。

Google App Engine (GAE) 是Google云端代管运行及开发客户web app的平台。这名现在就读乌拉圭民主大学的学生Ezequiel Pereira今年2月使用GAE时準备上传其开发的app时，无意间成功登入GAE测试用的部署环境，发现该平台针其特定呼叫回传的讯息暴露了内部的API。之后经过几次测试，他已能对代管于其上的app执行一般外部使用者无法执行的行为。

他于是经过Google的漏洞奖励方案回报，Google随后回应认为该漏洞为RCE漏洞，重要性列为P1 ，P1是指称漏洞影响广大用户，需儘速修补。这名大学生持续测试其他API的同时，接到Google要求他停止测试的讯息，因为「利用这些内部API可能轻易造成毁损。」到3月为止，他经由这个漏洞一共发现2个内部API。

根据Google漏洞奖励方案，发现RCE漏洞可获得$31,337美元奖金。

连同该RCE漏洞Pereira还通报了另一项风险较小、价值5,000美元的漏洞。总计他获得Google的奖金为$36,337美元。Google已在5月16日修补了这项RCE漏洞。