TikTok LIVE后端IDOR漏洞导致群组直播账户完全控制与不可删除创作者

本文披露了TikTok LIVE后端平台存在的IDOR漏洞,攻击者可越权控制群组直播账户并创建不可删除的创作者账号,漏洞评级为中等严重性(5.9分),已由安全研究员eneri提交并获奖励。

漏洞报告 #3027478 - 链式漏洞导致完全控制群组直播账户与不可删除创作者

漏洞摘要

TikTok LIVE后端平台存在不安全的直接对象引用(IDOR)漏洞,可能导致用户获得超出其账户权限的访问控制权。感谢@eneri向我们的团队报告此漏洞。

时间线

  • 2025年3月10日 1:16 UTC - eneri向TikTok提交报告
  • 2025年3月11日 11:32 UTC - eneri发布评论
  • 2025年3月12日 17:54 UTC - eneri发布评论
  • 2025年3月18日 0:05 UTC - eneri请求HackerOne支持调解
  • 2025年4月9日 9:21 UTC - HackerOne分析员将状态改为"待项目审核"
  • 2025年4月21日 - 多次状态变更和信息请求
  • 2025年4月28日 6:12 UTC - TikTok员工将严重性从严重降为中等级别(5.9分)
  • 2025年4月28日 6:14 UTC - 状态改为"已分类"
  • 2025年4月29日 - katarinabluu作为协作者加入报告
  • 2025年5月2日 - TikTok向katarinabluu和eneri发放奖金
  • 2025年6月26日 - 报告关闭,状态改为"已解决"
  • 2025年7月8日 - 报告同意披露

技术详情

报告日期: 2025年3月10日 1:16 UTC
报告者: eneri
目标: TikTok
状态: 已解决
严重性: 中等(5.9)
披露日期: 2025年7月8日 23:23 UTC
弱点类型: 权限提升
CVE ID: 无
奖金: 隐藏
账户详情: 无

漏洞影响

该IDOR漏洞允许攻击者:

  • 获得对群组直播账户的完全控制权限
  • 创建无法删除的创作者账户
  • 超越其正常账户权限进行未授权操作

处理结果

TikTok安全团队已确认并修复该漏洞,向发现者发放相应奖金,漏洞评级最终确定为中等严重性。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次