报告 #3295503 - 用户可取消批次中的单个预订，导致服务伙伴被锁定

报告摘要

一个逻辑缺陷允许用户更新批次内单个行程的状态，尽管系统本意只应允许在批次级别进行状态更改。通过取消仅含一个包裹的批次内的那个单一行程，攻击者可以使批次进入不一致状态，导致被分配的服务伙伴陷入一个他们无法完成或取消的预订中。

时间线

• ID已验证的黑客 sameer_ali 向 Bykea 提交了一份报告。
  • 2025年8月12日，上午4:32 (UTC)
• Bykea 员工 pingsudo 将状态更改为“已分类”。
  • 2025年8月12日，上午5:46 (UTC)
• Bykea 奖励了 sameer_ali 一笔赏金。
  • 2025年8月12日，上午6:51 (UTC)
• sameer_ali 发表了一条评论。
  • 2025年8月13日，上午7:49 (UTC)
• Bykea 员工 pingsudo 关闭了报告并将状态更改为“已解决”。
  • 2025年10月2日，上午5:56 (UTC)
• sameer_ali 请求公开此报告。
  • 2025年11月18日，下午4:24 (UTC)
• Bykea 员工 pingsudo 同意了公开此报告。
  • 2025年11月20日，上午5:32 (UTC)
• 此报告已被公开。
  • 2025年11月20日，上午5:32 (UTC)

报告详情

• 报告日期： 2025年8月12日，上午4:27 (UTC)
• 报告者： sameer_ali
• 报告给： Bykea
• 报告ID： #3295503
• 状态： 已解决
• 严重性： 中 (4.3)
• 公开日期： 2025年11月20日，上午5:32 (UTC)
• 弱点类型： 业务逻辑错误
• CVE ID： 无
• 赏金： 隐藏
• 账户详情： 无