Bykea | 报告 #2894018 - 反馈验证缺失允许任意司机评分 | HackerOne

漏洞摘要

@bugbountywithmarco 发现Bykea反馈系统中存在逻辑缺陷，允许已认证乘客为未曾实际乘坐的司机提交反馈。通过将自身有效行程ID与任意司机ID关联，攻击者可操纵司机评分——尽管该漏洞利用受限于攻击者合法拥有的行程，且每次行程仅能同时影响一个司机评分（先前评分会被覆盖）。尽管存在这些限制，该漏洞仍可被滥用以不公平地抬高或降低司机评分，从而破坏平台信誉系统的可靠性。

时间线

• 2024年12月10日 21:22 UTC
  bugbountywithmarco 向Bykea提交报告

• 2024年12月11日 07:05 UTC
  pingsudo（Bykea员工）发表评论

• 2024年12月11日 08:10 UTC
  pingsudo将严重等级从高危(7.5)调整为中危(4.3)

• 2024年12月11日 08:11 UTC
  pingsudo将状态变更为"已分类"

• 2024年12月11日 10:06 UTC
  bugbountywithmarco 发表评论

• 2024年12月11日 10:07 UTC
  pingsudo将严重等级从中危(4.3)调整为中危(5.3)

• 2024年12月11日 10:51 UTC
  pingsudo发表评论

• 2024年12月11日 12:37 UTC
  bugbountywithmarco 更新评论

• 2024年12月11日 13:10 UTC
  Bykea向bugbountywithmarco发放奖金

• 2024年12月11日 13:17 UTC
  bugbountywithmarco 发表评论

• 2025年1月21日 06:22 UTC
  pingsudo关闭报告并将状态变更为"已解决"

• 2025年1月21日 11:55 UTC
  bugbountywithmarco 发表评论

• 2025年2月26日 22:11 UTC
  compromiseed 提交重复报告(#3015424)并被邀请参与本报告

• 2025年6月12日 09:53 UTC
  pingsudo更改报告标题

• 2025年6月12日 09:55 UTC
  pingsudo将compromiseed移出参与者名单

• 2025年6月12日 09:56 UTC
  pingsudo发表评论

• 2025年6月12日 09:57 UTC
  pingsudo请求披露本报告

• 2025年6月12日 13:26 UTC
  bugbountywithmarco 同意披露本报告

• 2025年6月12日 13:26 UTC
  本报告已被披露

• 2025年6月12日 13:31 UTC
  pingsudo发表评论

报告详情

• 报告时间: 2024年12月10日 21:22 UTC
• 报告者: bugbountywithmarco
• 报告对象: Bykea
• 报告ID: #2894018
• 状态: 已解决
• 严重等级: 中危(5.3)
• 披露时间: 2025年6月12日 13:26 UTC
• 弱点类型: 不安全的直接对象引用(IDOR)
• CVE ID: 无
• 奖金: 隐藏
• 账户详情: 无