TikTok LIVE后端平台IDOR漏洞导致群组直播账户完全控制

本文详细披露了TikTok LIVE后端平台存在的IDOR漏洞,攻击者可通过该漏洞越权控制群组直播账户并创建不可删除的创作者账号,漏洞评级为中等严重性(5.9分),已由平台修复。

漏洞报告 #3027478 - 链式漏洞导致完全控制群组直播账户和不可删除的创作者账号

漏洞摘要

TikTok LIVE后端平台发现存在不安全的直接对象引用(IDOR)漏洞,可能导致用户获得超出其账户权限的访问控制权。感谢@eneri向我们的团队报告此问题。

时间线

  • 2025年3月10日 1:16 UTC - eneri向TikTok提交报告
  • 2025年3月11日 11:32 UTC - eneri发布评论
  • 2025年3月12日 17:54 UTC - eneri发布评论
  • 2025年3月18日 0:05 UTC - eneri请求HackerOne支持调解
  • 2025年4月9日 9:21 UTC - HackerOne分析员将状态改为待项目审核
  • 2025年4月21日 - 多次状态变更和信息请求
  • 2025年4月28日 - TikTok员工将严重性从严重降为中等级别(5.9分)
  • 2025年5月2日 - TikTok向eneri和katarinabluu发放赏金
  • 2025年6月26日 - 报告状态改为已解决
  • 2025年6月26日 - eneri请求披露此报告
  • 12天前 - 报告标题被修改并同意披露

技术详情

报告ID: #3027478
状态: 已解决
严重性: 中等(5.9)
披露时间: 2025年7月8日 23:23 UTC
弱点类型: 权限提升
CVE ID: 无
赏金: 隐藏

影响

该漏洞允许攻击者:

  • 完全控制群组直播账户
  • 创建不可删除的创作者账号
  • 绕过正常的权限检查机制

处理结果

TikTok安全团队已确认并修复该漏洞,向发现者支付了相应的漏洞赏金,并最终同意公开披露此安全事件。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次