Bykea | 报告 #2894018 - 反馈验证缺失导致可任意操纵司机评分

漏洞摘要

@bugbountywithmarco 发现Bykea反馈系统存在逻辑缺陷，允许已认证乘客为未实际乘坐的司机提交反馈。通过将自身有效行程ID与任意司机ID关联，攻击者可操纵司机评分（此漏洞利用受限于攻击者合法拥有的行程，且每次行程仅能同时影响一个司机评分，先前评分会被覆盖）。尽管存在此限制，该漏洞仍可被滥用以不公平地抬高或降低司机评分，破坏平台信誉系统的可靠性。

时间线

• 2024年12月10日 21:22 UTC
  bugbountywithmarco 向Bykea提交报告

• 2024年12月11日 07:05 UTC
  pingsudo（Bykea员工）发表评论

• 2024年12月11日 08:10 UTC
  严重等级从高危(7.5)调整为中危(4.3)

• 2024年12月11日 08:11 UTC
  状态变更为"已分类"

• 2024年12月11日 10:07 UTC
  严重等级从中危(4.3)调整为中危(5.3)

• 2024年12月11日 13:10 UTC
  Bykea向bugbountywithmarco发放赏金

• 2025年1月21日 06:22 UTC
  报告关闭，状态变为"已解决"

• 2025年6月12日 09:57 UTC
  请求披露此报告

• 2025年6月12日 13:26 UTC
  报告已披露

漏洞详情

报告ID: #2894018
状态: 已解决
严重等级: 中危 (5.3)
披露时间: 2025年6月12日 13:26 UTC
弱点类型: 不安全的直接对象引用 (IDOR)
CVE ID: 无
赏金: 隐藏

技术影响

该漏洞源于缺乏足够的反馈验证机制，允许用户通过修改请求参数将合法行程与其他司机ID关联。虽然每个行程只能影响一个司机评分，且之前的评分会被覆盖，但这种设计缺陷仍然可能导致：

• 司机评分被人为操纵
• 平台信誉系统可信度受损
• 潜在的经济影响（基于评分的奖励或惩罚机制）

修复状态

Bykea团队已确认并修复该漏洞，向发现者支付了相应赏金，并于2025年6月12日公开披露此安全报告。