报告 #2894018 - 反馈验证缺失允许任意司机评分

漏洞摘要

@bugbountywithmarco 发现 Bykea 反馈系统存在逻辑缺陷，允许已认证乘客为未实际乘坐的司机提交反馈。攻击者通过将自有有效行程ID与任意司机ID关联，可操纵司机评分——尽管此漏洞利用受限于攻击者合法拥有的行程，且每次行程仅能同时影响一个司机评分（之前的评分会被覆盖）。尽管存在此限制，该漏洞仍可被滥用以不公平地抬高或降低司机分数，破坏平台信誉系统的可靠性。

时间线

• 2024年12月10日 21:22 UTC：bugbountywithmarco 向 Bykea 提交报告
• 2024年12月11日 07:05 UTC：pingsudo（Bykea员工）发表评论
• 2024年12月11日 08:10 UTC：严重性从高危（7.5）调整为中危（4.3）
• 2024年12月11日 08:11 UTC：状态变更为"已分类"
• 2024年12月11日 10:06 UTC：bugbountywithmarco 发表评论
• 2024年12月11日 10:07 UTC：严重性从中危（4.3）调整为中危（5.3）
• 2024年12月11日 10:51 UTC：pingsudo 发表评论
• 2024年12月11日 12:37 UTC：bugbountywithmarco 更新评论
• 2024年12月11日 13:10 UTC：Bykea 向 bugbountywithmarco 发放奖金
• 2024年12月11日 13:17 UTC：bugbountywithmarco 发表评论
• 2025年1月21日 06:22 UTC：pingsudo 关闭报告并将状态改为"已解决"
• 2025年1月21日 11:55 UTC：bugbountywithmarco 发表评论
• 2025年2月26日 22:11 UTC：compromiseed 提交重复报告（#3015424）并被邀请参与
• 2025年6月12日 09:53 UTC：pingsudo 更改报告标题
• 2025年6月12日 09:55 UTC：移除 compromiseed 作为参与者
• 2025年6月12日 09:56 UTC：pingsudo 发表评论
• 2025年6月12日 09:57 UTC：pingsudo 请求披露此报告
• 2025年6月12日 13:26 UTC：bugbountywithmarco 同意披露报告
• 2025年6月12日 13:26 UTC：报告已披露
• 2025年6月12日 13:31 UTC：pingsudo 发表评论

报告详情

• 报告时间：2024年12月10日 21:22 UTC
• 报告者：bugbountywithmarco
• 报告对象：Bykea
• 报告ID：#2894018
• 状态：已解决
• 严重性：中危（5.3）
• 披露时间：2025年6月12日 13:26 UTC
• 弱点类型：不安全的直接对象引用（IDOR）
• CVE ID：无
• 奖金：隐藏
• 账户详情：无