Hackathon de la Universidad de Toronto: Descubrimiento Accidental de una Vulnerabilidad
Un estudiante de la Universidad de Toronto, mientras se registraba para el hackathon GenAI Genesis 2025, tropezó con una vulnerabilidad. Después de restablecer su contraseña (su administrador de contraseñas no la guardó), notó que el enlace de restablecimiento apuntaba a una aplicación Firebase. Intrigado, probó algunas técnicas comunes de explotación de Firebase. Descubrió que el sitio web actualizaba el estado de la solicitud escribiendo todo el objeto de la solicitud, no solo los campos necesarios. Al explotar esto, cambió con éxito su estado de solicitud a 'aceptado'. También encontró una vulnerabilidad de fuga de información, que permitía el acceso anticipado a los resultados de la revisión, la información del revisor y los comentarios. La vulnerabilidad se ha corregido.
Leer más