Bykea业务逻辑漏洞分析:批量预订中的行程取消导致合作伙伴锁定问题

本文详细分析了Bykea平台中的一个业务逻辑漏洞,该漏洞允许用户在批量预订中取消单个行程,导致批次状态不一致并使合作伙伴被锁定在无法完成或取消的预订中,涉及系统状态管理和业务流程安全。

Bykea | 报告 #3295503 - 客户可取消批量中的单个预订,导致合作伙伴锁定

漏洞摘要

一个逻辑缺陷允许用户更新批量中单个行程的状态,尽管系统原本只应允许批量级别的状态更改。通过取消单包裹批次中的单个行程,攻击者可使批次进入不一致状态,导致分配的合作伙伴被卡在无法完成或取消的预订中。

时间线

  • 2025年8月12日 4:32 UTC - ID验证黑客sameer_ali向Bykea提交报告
  • 2025年8月12日 5:46 UTC - Bykea员工pingsudo将状态更改为"已处理"
  • 2025年8月12日 6:51 UTC - Bykea向sameer_ali发放赏金
  • 2025年8月13日 7:49 UTC - sameer_ali发表评论
  • 2025年10月2日 5:56 UTC - pingsudo关闭报告并将状态更改为"已解决"
  • 8天前 - sameer_ali请求披露此报告
  • 7天前 - pingsudo同意披露此报告
  • 7天前 - 此报告已被披露

报告详情

  • 报告时间: 2025年8月12日 4:27 UTC
  • 报告者: sameer_ali
  • 报告对象: Bykea
  • 报告ID: #3295503
  • 状态: 已解决
  • 严重程度: 中等 (4.3)
  • 披露时间: 2025年11月20日 5:32 UTC
  • 弱点类型: 业务逻辑错误
  • CVE ID: 无
  • 赏金: 隐藏
  • 账户详情: 无
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次