报告 #3417162 - 订阅管理端点身份验证绕过 | HackerOne

摘要 在订阅管理功能中发现一个漏洞，该漏洞允许未经授权访问客户的计费信息。问题源于一个API端点上的身份验证和授权控制不足，可能被利用来访问敏感客户数据。

技术细节：

• 该漏洞影响订阅管理API端点。
• 缺失的身份验证要求允许未经授权的访问。
• 该问题被归类为不安全的直接对象引用（IDOR）漏洞。
• 客户标识符可被操纵以访问其他用户的数据。

解决方案： 该漏洞已由开发团队及时解决和修复。

时间线

• ID已验证 已成功完成ID验证检查的黑客。
• 0hmz 向 lemlist 提交了一份报告。
  • 2025年11月9日，UTC时间下午2:26
• 0hmz 发表了评论。 更新于 2025年11月9日，UTC时间下午2:47
• alban75 (lemlist 员工) 将状态更改为 已分类。
  • 2025年11月12日，UTC时间上午7:57
• lempirero (lemlist 员工) 关闭了报告并将状态更改为 已解决。
  • 15天前
• 0hmz 请求公开此报告。
  • 14天前
• alban75 (lemlist 员工) 发表了评论。
  • 11天前
• alban75 (lemlist 员工) 发表了评论。
  • 11天前
• alban75 (lemlist 员工) 发表了评论。
  • 11天前
• 0hmz 发表了评论。
  • 11天前
• alban75 (lemlist 员工) 更改了报告标题。
  • 11天前
• alban75 (lemlist 员工) 同意公开此报告。
  • 11天前
  • 此报告已于11天前公开。

报告信息

• 报告日期 2025年11月8日，UTC时间下午7:41
• 报告人 0hmz
• 报告对象 lemlist
• 报告ID #3417162
• 状态 已解决
• 严重性 严重 (9 ~ 10)
• 公开日期 2025年11月17日，UTC时间下午1:08
• 漏洞类型 不安全的直接对象引用 (IDOR)
• CVE ID 无
• 赏金 隐藏
• 账户详情 无

看起来您的JavaScript被禁用了。要使用HackerOne，请在浏览器中启用JavaScript并刷新此页面。