TikTok翻译API漏洞:私有账户视频描述遭未授权访问

本文披露了TikTok翻译API端点存在的不安全直接对象引用(IDOR)漏洞,攻击者可通过该漏洞访问私有账户的视频描述信息。漏洞由安全研究员z3phyrus发现并报告,最终获得官方奖励。

报告 #2921830 - 通过翻译API未授权访问私有账户视频描述

漏洞摘要

TikTok翻译API端点存在安全漏洞,可能导致攻击者未授权访问私有账户中的视频描述内容。感谢安全研究员@z3phyrus向TikTok团队报告此问题。

时间线

  • 2025年1月4日 4:55 UTC:z3phyrus向TikTok提交漏洞报告
  • 2025年1月13日 22:48 UTC:HackerOne分析人员将状态改为"需要更多信息"
  • 2025年1月14日 18:11 UTC:漏洞严重等级从低(3.1)调整为低(3.7)
  • 2025年1月23日 8:30 UTC:TikTok员工将状态改为"已分类"
  • 2025年1月24日 22:38 UTC:TikTok向z3phyrus发放漏洞赏金
  • 2025年4月24日 8:53 UTC:TikTok员工关闭报告并将状态改为"已解决"
  • 2025年6月27日 20:24 UTC:报告被公开披露

漏洞详情

漏洞类型:不安全直接对象引用(IDOR)
严重程度:低(3.7)
CVE ID:无
赏金状态:已发放(具体金额隐藏)

技术影响

该漏洞存在于TikTok的翻译API端点,攻击者能够绕过权限检查机制,直接访问本应受保护的私有账户视频描述信息。虽然漏洞严重等级被评定为低风险,但仍存在潜在的隐私泄露风险。

处理状态

  • 报告状态:已解决
  • 披露状态:已公开
  • 报告已被TikTok锁定
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次