Stop privilege escalation by group leaders

[jotjern]

Kjære webkom,

Jeg ønsker å meddele at dere har blitt pwnet 🥰

Jeg (og claude code) har funnet et sikkerhetshull som tillatter en hvilken som helst gruppeleder, inkludert ledere av interessegrupper kan få sudottilgang på LEGO ved å endre parent gruppen til egen gruppe til f.eks webkom

På tross av fristelsen til å stifte interessegruppen for pils og sprit og utnytte feilen, har jeg bestemt meg for å være snill som medlem av deres søskenkomite, og gjøre responsible disclosure 🙏

PR'en her sørger for at når du endrer parent gruppe så sjekker den att du ikke får noen nye permissions, men dere kan jo vurdere om man skal kunne endre parent gruppe i det hele tatt.

Vennlig hilsen Jo fra Dotkom, den beste kodekomiteen på NTNU ❤️

[brage-andreas]

Claude's plan ⁉️

[ch0rizo]

Takk @jotjern, som et tegn på takknemlighet, en gave fra oss i Webkom