批量订单中单个行程状态更新的逻辑漏洞分析

本文披露了一个由业务逻辑缺陷引发的安全漏洞。攻击者通过取消批量订单中的单个行程,可使整个批次状态陷入不一致,导致被指派的配送伙伴被锁定在无法完成或取消的订单中。

报告 #3295503 - 用户可取消批量订单中的单个预订,导致合作伙伴被锁定

摘要

一个逻辑缺陷允许用户更新批量订单中单个行程的状态,尽管系统设计初衷是只允许在批次级别进行状态更改。通过取消一个单包裹批次内的单个行程,攻击者可以使该批次进入不一致状态,导致被指派的合作伙伴被困在一个他们无法完成或取消的预订中。

时间线

  • ID已验证:成功完成身份验证检查的黑客 sameer_ali 向 Bykea 提交了一份报告。
    • 2025年8月12日,UTC 时间 4:32:提交报告。
    • 2025年8月12日,UTC 时间 5:46:Bykea 员工 pingsudo 将状态更改为 已分类
    • 2025年8月12日,UTC 时间 6:51:Bykea 向 sameer_ali 发放了赏金。
    • 2025年8月13日,UTC 时间 7:49sameer_ali 发表了一条评论。
    • 2025年10月2日,UTC 时间 5:56:Bykea 员工 pingsudo 关闭了报告并将状态更改为 已解决
    • 14天前sameer_ali 请求公开此报告。
    • 13天前:Bykea 员工 pingsudo 同意公开此报告。
    • 13天前:本报告已被公开。

报告详情

  • 报告日期:2025年8月12日,UTC 时间 4:27
  • 报告者:sameer_ali
  • 报告对象:Bykea
  • 报告ID:#3295503
  • 状态:已解决
  • 严重程度:中 (4.3)
  • 公开日期:2025年11月20日,UTC 时间 5:32
  • 弱点类型:业务逻辑错误
  • CVE ID:无
  • 赏金:隐藏
  • 账户详情:无
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次