Hiro | 报告 #268221 - 电子邮件变更无确认邮件 | HackerOne

跳过主导航 > Hacktivity机会目录排行榜了解更多关于HackerOne登录21#268221复制报告ID复制报告ID电子邮件变更无确认邮件分享：时间线

ID验证 - 已成功完成ID验证检查的黑客。

craxermgr 向Hiro提交了一份报告。 2017年9月14日，凌晨3:05（UTC）

菜单菜单 https://forum.blockstack.org/u/username/preferences/email

您好，这个部分似乎存在安全漏洞。当将电子邮件地址从email1更改为email2时，确认邮件会发送到email2而不是主账户email1。如果用户使用公共计算机访问其账户并且处于登录状态，这可能导致账户丢失。

此外，在更改电子邮件地址时，没有要求用户输入密码。

a-hiro 关闭了报告并将状态更改为"信息性"。 2017年9月26日，下午3:58（UTC）

菜单菜单 我们使用正常的话语电子邮件变更流程——在email2确认地址变更后，会向email1发送一封电子邮件：

1
2
3
4
5
6
7

代码代码代码•212字节
展开行展开行下载下载复制复制折叠折叠
1这是一条自动消息，通知您您的
2Blockstack论坛的电子邮件地址已更改。如果这是错误操作，请联系
3网站管理员。
4
5您的电子邮件地址已更改为：

这可以防止电子邮件变更在用户不知情的情况下发生。一旦发现，我们的论坛管理员可以为用户恢复账户。

感谢您关注此事——我将把这个问题标记为信息性并关闭。

craxermgr 请求披露此报告。 2017年10月20日，凌晨5:22（UTC）

rafaelcr Hiro员工 同意披露此报告。 6天前

此报告已被披露。 6天前

报告详情

• 报告时间：2017年9月14日，凌晨3:05（UTC）
• 报告人：craxermgr
• 报告对象：Hiro
• 参与者
• 报告ID：#268221
• 状态：信息性
• 严重性：低（0.1 ~ 3.9）
• 披露时间：2025年10月31日，下午5:38（UTC）
• 弱点：信息泄露
• CVE ID：无
• 赏金：无
• 账户详情：无

看起来您的JavaScript被禁用了。要使用HackerOne，请在浏览器中启用JavaScript并刷新此页面。