LY Corporation | 报告 #3008878 - 通过SVG上传在chat.line.biz中实现存储型XSS | HackerOne
该Web应用程序允许用户通过chat.line.biz上传SVG文件,但未能正确过滤或禁用嵌入在SVG内容中的脚本。因此,攻击者可以上传包含JavaScript的恶意SVG文件,当其他用户稍后在管理界面中打开此文件时,嵌入的脚本将在浏览器中执行,从而导致存储型跨站脚本(Stored XSS)漏洞。
时间线
- ID验证 - 已成功完成ID验证检查的黑客。
- imnotr3al 向LY Corporation提交报告。
- 2025年2月24日,上午7:32(UTC)
- imnotr3al 发表评论。
- 2025年2月24日,下午1:59(UTC)
- calvin55 (LY Corporation员工)将状态更改为 已受理。
- 2025年2月25日,上午7:34(UTC)
- 03sunf_ (LY Corporation员工)发表评论。
- 2025年3月27日,上午9:06(UTC)
- imnotr3al 发表评论。
- 更新于2025年3月27日,上午9:37(UTC)
- calvin55 (LY Corporation员工)发表评论。
- 2025年3月29日,上午4:58(UTC)
- imnotr3al 已请求HackerOne支持调解。
- 2025年5月23日,上午7:57(UTC)
- 03sunf_ (LY Corporation员工)发表评论。
- 2025年5月23日,上午9:55(UTC)
- imnotr3al 发表评论。
- 2025年5月23日,上午10:47(UTC)
- 03sunf_ (LY Corporation员工)发表评论。
- 2025年5月23日,上午11:11(UTC)
- imnotr3al 发表评论。
- 2025年5月24日,上午8:34(UTC)
- calvin55 (LY Corporation员工)发表评论。
- 2025年6月9日,上午6:25(UTC)
- calvin55 (LY Corporation员工)发表评论。
- 2025年6月11日,上午6:11(UTC)
- imnotr3al 发表评论。
- 2025年6月11日,上午6:22(UTC)
- calvin55 (LY Corporation员工)发表评论。
- 2025年6月16日,上午6:57(UTC)
- imnotr3al 发表评论。
- 2025年6月16日,上午8:34(UTC)
- calvin55 (LY Corporation员工)发表评论。
- 2025年6月16日,上午10:52(UTC)
- imnotr3al 发表评论。
- 2025年6月17日,上午6:45(UTC)
- calvin55 (LY Corporation员工)将严重性从 高(7.5) 更新为 低。
- 2025年6月19日,上午8:59(UTC)
- LY Corporation 奖励 imnotr3al 100美元赏金。
- 2025年6月19日,上午9:01(UTC)
- calvin55 (LY Corporation员工)关闭报告并将状态更改为 已解决。
- 2025年6月19日,上午9:01(UTC)
- imnotr3al 请求披露此报告。
- 2025年6月19日,上午10:08(UTC)
- calvin55 (LY Corporation员工)发表评论。
- 2025年7月21日,上午7:37(UTC)
- calvin55 (LY Corporation员工)更改报告标题。
- 6天前
- calvin55 (LY Corporation员工)同意披露此报告。
- 6天前
- 此报告已披露。
- 6天前
报告信息
- 报告日期: 2025年2月24日,上午7:32(UTC)
- 报告人: imnotr3al
- 报告对象: LY Corporation
- 管理: 已管理
- 参与者: 报告参与者
- 报告ID: #3008878
- 状态: 已解决
- 严重性: 低(0.1 ~ 3.9)
- 披露日期: 2026年1月5日,上午4:49(UTC)
- 弱点: 无
- CVE ID: 无
- 赏金: 100美元
- 账户详情: 无
验证代理推理 (关闭) 无此报告的验证代理推理可用。 不同意该推理?请告知我们。