漏洞报告 #2921830 - 通过翻译API未授权访问私有账户视频描述

漏洞概述

在TikTok翻译API端点中发现一个安全漏洞，该漏洞可能导致未授权访问私有账户中包含的视频描述信息。

时间线

• 2025年1月4日 4:55 UTC：z3phyrus向TikTok提交漏洞报告
• 2025年1月13日：HackerOne分析人员将状态改为"需要更多信息"
• 2025年1月14日：严重等级从低(3.1)更新为低(3.7)
• 2025年1月23日：TikTok员工将状态改为"已分类"
• 2025年1月24日：TikTok向z3phyrus发放赏金奖励
• 2025年4月24日：TikTok员工关闭报告并将状态改为"已解决"
• 2025年6月27日：报告被同意披露并锁定

技术细节

漏洞类型：不安全直接对象引用(IDOR) 严重程度：低(3.7) CVE ID：无 赏金状态：隐藏

处理结果

该漏洞已被TikTok安全团队确认并修复，研究人员z3phyrus因报告此漏洞而获得相应的赏金奖励。报告于2025年6月27日正式披露，目前该报告已被锁定。