信息泄露漏洞报告 #268224
漏洞描述
提交时间:2017年9月14日 3:34 UTC 报告者:craxermgr(ID已验证) 报告对象:Hiro
漏洞发现者指出,通过访问以下URL格式可以查看任意用户的通知面板:
|
|
只需将URL中的"username"替换为目标的用户名,即可被重定向到相应用户的通知面板。
厂商回应
a-hiro 于2017年9月25日 20:27 UTC回复: “感谢您的关注!该通知面板仅显示用户的公开信息,不包含私人消息或其他私密通知信息。”
后续进展
craxermgr 于2017年9月26日 6:25 UTC回应: “感谢您的说明…在我看来这像是安全漏洞。既然不涉及用户信息泄露,那就可以接受。”
a-hiro 于2017年9月26日 13:25 UTC关闭报告并将状态改为"信息性": “再次感谢,将此问题作为信息性报告关闭。”
报告披露
craxermgr 于2017年10月20日 5:22 UTC请求披露此报告 rafaelcr(Hiro员工) 于7天前同意披露此报告 此报告已于7天前被披露
报告详情
- 报告ID:#268224
- 严重程度:中等(4 ~ 6.9)
- 状态:信息性
- 披露时间:2025年10月31日 17:34 UTC
- 弱点类型:信息泄露
- CVE ID:无
- 赏金:无