18歲大學生找出Google App Engine重大RCE漏洞，抱走3.6萬美元獎金

一名年僅18歲的大學生因為揭露了Google App Engine重大的遠端程式碼執行（remote code engine, RCE）漏洞，而獲得Google頒發$36,337美元的獎金。

Google App Engine (GAE) 是Google雲端代管運行及開發客戶web app的平台。這名現在就讀烏拉圭民主大學的學生Ezequiel Pereira今年2月使用GAE時準備上傳其開發的app時，無意間成功登入GAE測試用的部署環境，發現該平台針其特定呼叫回傳的訊息暴露了內部的API。之後經過幾次測試，他已能對代管於其上的app執行一般外部使用者無法執行的行為。

他於是經過Google的漏洞獎勵方案回報，Google隨後回應認為該漏洞為RCE漏洞，重要性列為P1 ，P1是指稱漏洞影響廣大用戶，需儘速修補。這名大學生持續測試其他API的同時，接到Google要求他停止測試的訊息，因為「利用這些內部API可能輕易造成毁損。」到3月為止，他經由這個漏洞一共發現2個內部API。

根據Google漏洞獎勵方案，發現RCE漏洞可獲得$31,337美元獎金。

連同該RCE漏洞Pereira還通報了另一項風險較小、價值5,000美元的漏洞。總計他獲得Google的獎金為$36,337美元。Google已在5月16日修補了這項RCE漏洞。