报告 #3295503 - 客户可取消批量订单中的单个预定，导致合作伙伴锁定

概要

一个逻辑缺陷允许用户更新批量订单中单个行程的状态，尽管系统原本仅设计允许在批次级别进行状态更改。通过取消包含单一包裹的批次内的那个行程，攻击者可以使该批次进入不一致的状态，导致被指派的合作伙伴被困在一个他们无法完成或取消的预定中。

时间线

• ID已验证的黑客 sameer_ali 向 Bykea 提交了一份报告。
  • 2025年8月12日，UTC时间上午4:32
• Bykea 员工 pingsudo 将状态更改为 已分类。
  • 2025年8月12日，UTC时间上午5:46
• Bykea 向 sameer_ali 发放了奖金。
  • 2025年8月12日，UTC时间上午6:51
• sameer_ali 发表了一条评论。
  • 2025年8月13日，UTC时间上午7:49
• Bykea 员工 pingsudo 关闭了报告并将状态更改为 已解决。
  • 2025年10月2日，UTC时间上午5:56
• sameer_ali 请求公开此报告。
  • 2025年11月18日，UTC时间下午4:24
• Bykea 员工 pingsudo 同意公开此报告。
  • 14天前
• 此报告已被公开。
  • 14天前

报告详情

• 报告时间: 2025年8月12日，UTC时间上午4:27
• 报告者: sameer_ali
• 报告给: Bykea
• 参与者:
• 报告 ID: #3295503
• 状态: 已解决
• 严重性: 中 (4.3)
• 公开时间: 2025年11月20日，UTC时间上午5:32
• 弱点: 业务逻辑错误
• CVE ID: 无
• 奖金: 隐藏
• 账户详情: 无