报告 #3295503 - 客户可取消批次中的单个预订，导致合作伙伴锁定 | Bykea

摘要

一个逻辑缺陷允许用户更新批次内单个行程的状态，尽管系统原本只应允许批次级别的状态变更。通过取消一个单包裹批次内的行程，攻击者可使该批次进入不一致状态，导致被分配的合作伙伴被困在一个无法完成或取消的预订中。

时间线

• ID已验证的黑客 sameer_ali 向 Bykea 提交了一份报告。
  • 2025年8月12日，凌晨4:32 (UTC)
• pingsudo (Bykea 员工) 将状态更改为 已分类。
  • 2025年8月12日，凌晨5:46 (UTC)
• Bykea 向 sameer_ali 发放了奖金。
  • 2025年8月12日，早上6:51 (UTC)
• sameer_ali 发表了一条评论。
  • 2025年8月13日，早上7:49 (UTC)
• pingsudo (Bykea 员工) 关闭了报告并将状态更改为 已解决。
  • 2025年10月2日，凌晨5:56 (UTC)
• sameer_ali 请求公开此报告。
  • 8天前
• pingsudo (Bykea 员工) 同意公开此报告。
  • 6天前
  • 此报告已被公开。
  • 6天前

报告详情

• 报告日期: 2025年8月12日，凌晨4:27 (UTC)
• 报告者: sameer_ali
• 报告对象: Bykea
• 参与者: 见时间线
• 报告 ID: #3295503
• 状态: 已解决
• 严重性: 中等 (4.3)
• 公开日期: 2025年11月20日，凌晨5:32 (UTC)
• 弱点: 业务逻辑错误
• CVE ID: 无
• 奖金: 隐藏
• 账户详情: 无