报告 #3243860 - 微软 x-apikey 在 Mozilla CI 公共日志中暴露

摘要

在公开可访问的 Mozilla CI 日志中发现了一个微软遥测 API 密钥（x-apikey）。该密钥出现在自动化 Firefox 测试期间发送到微软遥测端点的 HTTP POST 请求中，并通过 mitmproxy 日志捕获。

虽然安全影响很小（功能有限的遥测 API 密钥）且该报告被认为超出我们计划的范围，但我们采取了行动将 mitmproxy.log 工件移动到内部存储，以防止未来的凭证泄漏。因此，我们接受了该报告并支付了奖金以认可报告者的努力。

时间线

• 2025 年 7 月 9 日 19:56 UTC - 已完成身份验证的黑客 xhacking_z 向 Mozilla 提交报告

• 2025 年 7 月 9 日 20:03 UTC - xhacking_z 更新了漏洞信息

• 2025 年 7 月 10 日 02:19 UTC - HackerOne 分析师 elliot 将状态更改为"需要更多信息"

• 2025 年 7 月 10 日 13:42 UTC - xhacking_z 将状态更改为"新建"

• 2025 年 7 月 10 日 13:49 UTC - xhacking_z 发表评论

• 2025 年 7 月 11 日 05:33 UTC - HackerOne 分析师 zenitsu 关闭报告并将状态更改为"信息性"

• 2025 年 7 月 22 日 14:38 UTC - Mozilla 奖励 xhacking_z 200 美元奖金

• 2025 年 7 月 22 日 18:15 UTC - xhacking_z 发表评论

• 2025 年 7 月 22 日 18:18 UTC - xhacking_z 发表评论

• 2025 年 7 月 23 日 07:44 UTC - Mozilla 员工 frida-k 发表评论

• 2025 年 7 月 23 日 11:55 UTC - xhacking_z 发表评论

• 2025 年 7 月 23 日 12:39 UTC - Mozilla 员工 frida-k 更改范围

• 2025 年 7 月 23 日 13:06 UTC - Mozilla 员工 frida-k 重新打开此报告

• 2025 年 7 月 23 日 13:06 UTC - Mozilla 员工 frida-k 关闭报告并将状态更改为"已解决"

• 2025 年 8 月 16 日 00:38 UTC - xhacking_z 请求披露此报告

• 2025 年 8 月 20 日 08:12 UTC - Mozilla 员工 frida-k 取消披露请求

• 2025 年 9 月 30 日 21:28 UTC - xhacking_z 请求披露此报告

• 2025 年 9 月 30 日 21:42 UTC - xhacking_z 发表评论

• 2025 年 10 月 1 日 11:15 UTC - Mozilla 员工 frida-k 取消披露请求

• 2025 年 10 月 1 日 13:55 UTC - xhacking_z 发表评论

• 2025 年 10 月 29 日 07:26 UTC - xhacking_z 请求披露此报告

• 15 天前 - Mozilla 员工 frida-k 发表评论

• 14 天前 - xhacking_z 发表评论

• 10 天前 - Mozilla 员工 frida-k 同意披露此报告

• 10 天前 - 此报告已被披露

• 10 天前 - Mozilla 已锁定此报告

报告详情

• 报告时间：2025 年 7 月 9 日 19:56 UTC

• 报告者：xhacking_z

• 报告对象：Mozilla

• 报告 ID：#3243860

• 状态：已解决

• 严重程度：中等（5.3）

• 披露时间：2025 年 11 月 3 日 10:34 UTC

• 弱点：敏感信息的明文存储

• CVE ID：无

• 赏金：200 美元

• 账户详情：无更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享