报告 #3295503 - 用户取消批量中的单个订单导致合作伙伴锁定

概要

一个逻辑缺陷允许用户更新批量订单中单个行程的状态，而系统原本只应允许在批次级别进行状态更改。通过取消一个单包裹批次内的单个行程，攻击者可以使该批次进入不一致状态，导致被分配的合作伙伴陷入无法完成或取消的订单中。

时间线

• ID已验证黑客 sameer_ali 向Bykea提交了一份报告。
  • 2025年8月12日，UTC时间上午4:32
• Bykea员工 pingsudo 将状态更改为 已分类。
  • 2025年8月12日，UTC时间上午5:46
• Bykea 向 sameer_ali 发放了赏金。
  • 2025年8月12日，UTC时间上午6:51
• sameer_ali 发表了一条评论。
  • 2025年8月13日，UTC时间上午7:49
• Bykea员工 pingsudo 关闭了报告并将状态更改为 已解决。
  • 2025年10月2日，UTC时间上午5:56
• sameer_ali 请求公开此报告。
  • 2025年11月18日，UTC时间下午4:24
• Bykea员工 pingsudo 同意公开此报告。
  • 15天前
• 此报告已被公开。
  • 15天前

报告详情

• 报告时间: 2025年8月12日，UTC时间上午4:27
• 报告者: sameer_ali
• 报告对象: Bykea
• 报告ID: #3295503
• 状态: 已解决
• 严重性: 中等 (4.3)
• 公开时间: 2025年11月20日，UTC时间上午5:32
• 弱点类型: 业务逻辑错误
• CVE ID: 无
• 赏金: 隐藏
• 账户详情: 无