Bykea | 报告 #3228011 - 通过/talos/api/v1/files/upload的关键信息泄露

漏洞概述

@sameer_ali 在文件上传功能中发现了一个漏洞，该漏洞存在于文件上传至S3之前的服务器存储过程中。由于配置缺陷，服务器的内存块被包含在某些上传的文件中。此问题被归类为关键严重等级，并作为优先事项进行处理。

时间线

• 2025年6月27日 21:16 UTC - ID验证的黑客sameer_ali向Bykea提交报告
• 2025年6月27日 21:27 UTC - Bykea工作人员pingsudo关闭报告并将状态改为信息性
• 2025年6月27日 21:35 UTC - sameer_ali发表评论
• 2025年6月27日 21:51 UTC - sameer_ali发表评论
• 2025年6月27日 21:58 UTC - pingsudo重新开放此报告
• 2025年6月27日 22:00 UTC - pingsudo将状态改为已分类
• 2025年6月27日 22:16 UTC - Bykea向sameer_ali发放赏金
• 2025年6月28日 00:33 UTC - sameer_ali发表评论
• 2025年6月28日 15:16 UTC - sameer_ali发表评论
• 2025年6月28日 17:00 UTC - pingsudo发表评论
• 2025年6月28日 17:04 UTC - sameer_ali发表评论
• 2025年6月28日 21:05 UTC - pingsudo发表评论
• 2025年6月28日 22:51 UTC - sameer_ali发表评论
• 2025年6月28日 23:08 UTC - sameer_ali发表评论
• 2025年6月30日 13:12 UTC - bykeatriage发表评论
• 2025年6月30日 13:33 UTC - sameer_ali发表评论
• 2025年6月30日 15:43 UTC - bykeatriage发表评论
• 2025年6月30日 16:33 UTC - sameer_ali发表评论
• 2025年6月30日 16:33 UTC - sameer_ali发表评论
• 2025年7月4日 10:06 UTC - pingsudo发表评论
• 2025年7月10日 06:50 UTC - sameer_ali发表评论
• 2025年7月11日 15:48 UTC - sameer_ali发表评论
• 2025年7月16日 09:42 UTC - pingsudo关闭报告并将状态改为已解决
• 10天前 - sameer_ali请求披露此报告
• 8天前 - pingsudo同意披露此报告
• 8天前 - 此报告已被披露

报告详情

• 报告时间：2025年6月27日 20:55 UTC
• 报告者：sameer_ali
• 报告对象：Bykea
• 报告ID：#3228011
• 状态：已解决
• 严重等级：关键（9.8）
• 披露时间：2025年9月17日 19:09 UTC
• 弱点：包含文件中的敏感信息包含
• CVE ID：无
• 赏金：隐藏
• 账户详情：无