报告 #2861888 - 可提升任意客户报价能力（BAC）

漏洞摘要

安全研究员@grassye发现一个业务逻辑缺陷，允许恶意乘客或伪装成乘客的司机在未获得用户授权的情况下，提高其他客户行程的费用。通过串联两个未授权端点：使用GET /v1/config?trip_id=XXX生成哈希值，再利用PUT /v1/bidding提交伪造报价，攻击者可使司机端显示被恶意抬高的费用。

虽然受影响乘客仍保留取消订单的权限，但此行为会破坏平台信任度，可能引发冲突，同时暴露出后端逻辑中缺乏授权检查的问题。

时间线

• 2024年11月23日 6:31 UTC
  @grassye（ID已验证）向Bykea提交报告

• 2024年11月23日 6:48 UTC
  @grassye发表评论

• 2024年11月23日 6:57 UTC
  Bykea工作人员pingsudo将状态改为"需要更多信息"

• 2024年11月23日 7:19 UTC
  严重等级从高危降为中危，状态改为"已分类"

• 2024年11月23日 7:20-7:31 UTC
  多方评论交流，Bykea向@grassye发放奖励

• 2025年2月18日 12:10 UTC
  报告关闭，状态改为"已解决"

• 2025年6月12-13日
  报告披露流程完成

漏洞详情

报告时间：2024年11月23日 6:31 UTC
报告者：grassye
报告对象：Bykea
报告ID：#2861888
状态：已解决
严重等级：中危 (4 ~ 6.9)
披露时间：2025年6月13日 4:52 UTC
弱点类型：不安全的直接对象引用 (IDOR)
CVE ID：无
赏金：隐藏
账户详情：无