汽车分享公司Uber最近修复了该公司网站的一个漏洞，该漏洞能够允许攻击者没有密码也可以登录一些 “.uber.com” 网站，以及进一步对其内部网络的攻击。

Uber奖励了在上个月发现该漏洞的芬兰安全研究员Jouko Pynnonen 10000美元，这等于该公司在今年早些时候启动这一项目之后支付的最高赏金。

根据Pynnonen的介绍，这个漏洞分为两部分，一个让他绕过Uber的员工身份验证，系统超级用途OneLogin，另一个可以让攻击者进入Uber的内部网络——托管在Atlassian的融合协作软件。

Pynnonen，供职于Klikki Oy公司，他在周二告诉Threatpost他发现的这个登录bug可以用来危害使用WordPress的服务器，像Uber的公关网站——newsroom.uber.com。

而据研究者介绍，由OneLogin提供的WordPress插件中包含一个bug，它能够给攻击者提供任何他们想要的用户名、电子邮件地址、姓名或角色。

“如果一个用户名不存在于WordPress数据库中，那么这个插件将会创建一个新用户，”Pynnonen 在他在HackerOne上关于这个bug的概述中写道。

在网站eng.uber.com，他能够创建一个“Subscriber”账户，而在另一个网站newsroom.uber.com，他可以创建一个“Administrator”账户，仅仅通过猜测这个角色的名字就可以实现。

当他获得Newsroom网站的管理员权限之后，他发现他可以继续攻击内部网站，因为大部分内部网站team.uberinternal.com的页面都指向Newsroom网站主导的一个脚本。

Pynnonen发现的漏洞的第二部分是它能够修改JavaScript文件，adrum.js，来威胁Uber的内部网络。

据研究者介绍，攻击者可以通过被攻陷的网站实现远程代码执行，因为JavaScript可以从Newsroom网站注入融合环境。Pynnonen描述了一个具体的例子，当它被加载之后，可以安装一个包含代码的扩展或者插件，同样的也可以创建一个后门服务。

Uber 迅速解决了这个问题——在一天之中就解决了它们，并且承认Pynnonen的工作，还奖励了他该公司最大的奖金。这么高的奖励是由于链接 JavaScript源代码，Uber承认这个Bug能将影响提升到很大。Pynnonen在5月初私下报道了这个事件，但相应的bug报告直到周一才在 HackerOne公开报道。

这是今年第二次Pynnonen由于挖掘出一个关键的安全漏洞而获得10000美元的奖励。今年1月份，雅虎披露他们已经修补了邮件服务的一个关键漏洞，而该漏洞正是Pynnonen在上月发现的可以让攻击者获得用户帐户完全控制权的漏洞。

Uber的Bug赏金项目上马，并于3月份通过了内测，但直到现在该公司只在一次事件中奖励一名研究员10000美元。今年3月，项目上马后不久，一个研究员在Uber的网站上发现了一个远程代码执行漏洞。

Pynnonen一直擅长发现首次发布的乘车分享应用程序中的bug。他提起了13个bug报告，主要是远端控制设备，CSRF，XSS和影响服务器使用的WordPress组件的SQL注入漏洞，他是公司HackerOne页面上最好的报道者之一。