报告 #3328343 - 租车行程中 customer_bid 字段缺乏最低出价验证

报告状态： 已解决 严重程度： 低 (0.1 ~ 3.9) 披露日期： 2025年11月20日，UTC 上午5:46 弱点： 业务逻辑错误 CVE ID： 无 赏金： 隐藏 账户详情： 无

概要

在创建租车行程时，customer_bid 字段存在验证缺失，允许乘客提交任意出价金额，包括极低的费用。尽管司机不会接受此类超低报价，但系统在没有验证的情况下展示了这些被操控的行程报价。现已添加适当的验证以防止不切实际的值。

时间线

• 2025年9月5日，UTC 下午12:54：ID验证成功的黑客 sameer_ali 向 Bykea 提交了一份报告。
• 2025年9月5日，UTC 下午1:34：Bykea 员工 pingsudo 关闭了报告并将状态改为 信息性。
• 2025年9月5日，UTC 下午2:04：sameer_ali 发表了评论。
• 2025年9月6日，UTC 上午6:41：Bykea 员工 pingsudo 重新开启了此报告。
• 2025年9月6日，UTC 上午6:41：Bykea 员工 pingsudo 将状态改为 已分类。
• 2025年9月6日，UTC 上午6:41：Bykea 员工 pingsudo 将严重程度从中等 (5.3) 更新为低。
• 2025年9月6日，UTC 上午6:41：Bykea 向 sameer_ali 发放了赏金。
• 2025年9月6日，UTC 上午6:43：sameer_ali 发表了评论。
• 2025年9月6日，UTC 上午6:44：Bykea 员工 pingsudo 更改了报告标题。
• 2025年11月5日，UTC 上午10:44：Bykea 员工 pingsudo 关闭了报告并将状态改为 已解决。
• 2025年11月5日，UTC 上午10:54：sameer_ali 请求披露此报告。
• 大约6天前：Bykea 员工 pingsudo 同意披露此报告。
• 大约6天前：此报告已被披露。

报告于： 2025年9月5日，UTC 下午12:53 报告人： sameer_ali 报告对象： Bykea 报告ID： #3328343