TikTok直播平台IDOR漏洞导致账户权限失控与不可删除创作者

本文详细披露了TikTok直播平台存在的IDOR(不安全的直接对象引用)漏洞,攻击者可通过该漏洞获得超出账户权限的控制能力,包括完全控制群组直播账户和创建不可删除的创作者账户,漏洞严重性评级为中等(5.9分)。

报告 #3027478 - 链式漏洞导致完全控制群组直播账户与不可删除创作者

漏洞摘要

在TikTok直播后端平台发现了一个不安全的直接对象引用(IDOR)漏洞,可能导致用户获得超出其账户权限的访问控制权。感谢@eneri向我们的团队报告此问题。

时间线

  • 2025年3月10日 01:16 UTC - eneri向TikTok提交报告
  • 2025年3月11日 11:32 UTC - eneri发布评论(更新)
  • 2025年3月12日 17:54 UTC - eneri发布评论(更新)
  • 2025年3月18日 00:05 UTC - eneri请求HackerOne支持调解
  • 2025年3月29日 01:46 UTC - eneri发布评论
  • 2025年4月9日 09:21 UTC - HackerOne分析员sam将状态改为"待项目审核"
  • 2025年4月10日 12:14 UTC - eneri发布评论
  • 2025年4月21日 05:38 UTC - TikTok员工tt_zr将状态改为"需要更多信息"
  • 2025年4月21日 06:23 UTC - eneri将状态改回"待项目审核"
  • 2025年4月21日 07:39 UTC - TikTok员工tt_zr再次将状态改为"需要更多信息"(更新)
  • 2025年4月21日 08:47 UTC - eneri将状态改回"待项目审核"
  • 2025年4月21日 18:21 UTC - eneri发布评论(更新)
  • 2025年4月21日 18:26 UTC - eneri发布评论(更新)
  • 2025年4月28日 06:12 UTC - TikTok员工tt_zr将严重性从严重降为中等(5.9分)
  • 2025年4月28日 06:14 UTC - TikTok员工tt_zr将状态改为"已分类"
  • 2025年4月29日 01:03 UTC - eneri邀请另一位安全研究人员作为协作者
  • 2025年4月29日 01:04 UTC - katarinabluu作为协作者加入报告
  • 2025年5月2日 08:20 UTC - TikTok向katarinabluu发放奖金
  • 2025年5月2日 08:20 UTC - TikTok向eneri发放奖金
  • 2025年6月26日 09:05 UTC - TikTok员工tt_zr关闭报告并将状态改为"已解决"
  • 2025年6月26日 11:19 UTC - eneri请求公开此报告
  • 2025年6月27日 20:16 UTC - TikTok员工tt_sr发布评论
  • 2025年6月28日 01:21 UTC - eneri发布评论
  • 2025年7月8日 23:19 UTC - TikTok员工tt_sr更改报告标题
  • 2025年7月8日 23:23 UTC - TikTok员工tt_sr同意公开此报告
  • 2025年7月8日 23:23 UTC - 报告已公开

报告详情

  • 报告时间: 2025年3月10日 01:16 UTC
  • 报告者: eneri
  • 报告对象: TikTok
  • 报告ID: #3027478
  • 状态: 已解决
  • 严重性: 中等(5.9分)
  • 公开时间: 2025年7月8日 23:23 UTC
  • 弱点类型: 权限提升
  • CVE ID: 无
  • 奖金: 隐藏
  • 账户详情: 无

注意:您的JavaScript似乎已禁用。要使用HackerOne,请在浏览器中启用JavaScript并刷新此页面。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次