Flickr论坛分页漏洞:不当的输入处理导致服务器资源耗尽

本文披露了Flickr平台上发现的一个安全漏洞。攻击者通过向分页URL提供超出现有页面范围的页码,触发服务器端逻辑陷入无限循环,从而导致服务器资源被大量消耗。漏洞最终被修复,发现者获得了479美元的赏金。

报告 #1916400 - 论坛线程分页因输入清理不足导致高资源消耗

摘要 在某些分页页面上,如果URL中提供的页码大于实际可用的页面数量,内部逻辑将导致一个无限循环,在每次循环迭代中生成标记。通过修正逻辑,可以轻松纠正此情况,并避免生成指向不存在页面的链接。

时间线

  • 2023年3月24日,UTC 12:43am - 研究人员 maskopatol 向 Flickr 提交了报告。
  • 2023年3月24日,UTC 10:46pm - Flickr 员工 pdokas 将严重性从“中等”更新为“中等 (5.3)”。
  • 2023年3月24日,UTC 10:47pm - Flickr 员工 pdokas 发表了一条评论。
  • 2023年3月24日,UTC 10:47pm - Flickr 向 maskopatol 发放了 479 美元的赏金。
  • 2023年3月24日,UTC 10:53pm - Flickr 员工 pdokas 将状态更改为“已分类”。
  • 2023年3月24日,UTC 11:14pm - 研究人员 maskopatol 发表了一条评论。
  • 2023年11月28日,UTC 6:32pm - Flickr 员工 dmintonsmugmug 将状态更改为“重新测试中”。
  • 2023年11月28日,UTC 7:01pm - 研究人员 maskopatol 完成了重新测试。
  • 2023年11月28日,UTC 7:06pm - Flickr 接受了重新测试者的测试完成结果。
  • 2023年11月28日,UTC 7:06pm - Flickr 员工 dmintonsmugmug 将状态更改为“已分类”。
  • 2025年8月6日,UTC 9:12pm - Flickr 员工 dmintonsmugmug 将状态更改为“已分类”。
  • 2025年10月8日,UTC 11:51pm - Flickr 员工 dmintonsmugmug 将状态更改为“重新测试中”。
  • 2025年10月9日,UTC 12:37pm - 研究人员 maskopatol 完成了重新测试。
  • 2025年10月9日,UTC 2:40pm - Flickr 接受了重新测试者的测试完成结果。
  • 2025年10月9日,UTC 2:40pm - Flickr 员工 dmintonsmugmug 关闭报告并将状态更改为“已解决”。
  • 11天前 - 研究人员 maskopatol 请求公开此报告。
  • 8天前 - Flickr 员工 pdokas 同意公开此报告。
  • 8天前 - 本报告已公开。

报告详情

  • 报告时间: 2023年3月24日,UTC 12:43am
  • 报告者: maskopatol
  • 报告对象: Flickr
  • 管理方: Flickr
  • 参与者: 报告者与Flickr安全团队
  • 报告ID: #1916400
  • 状态: 已解决
  • 严重性: 中等 (5.3)
  • 公开时间: 2025年11月24日,UTC 10:33pm
  • 弱点类型: 资源分配无限额或未节流
  • CVE ID:
  • 赏金: 479美元
  • 账户详情:
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次