TikTok LIVE后端IDOR漏洞导致群组直播账户完全控制与无法删除的创建者

本文详细披露了TikTok LIVE后端平台存在的IDOR漏洞,攻击者可通过该漏洞越权控制群组直播账户并创建无法删除的创建者身份,漏洞评级为中等严重性(5.9分),已由安全研究员eneri提交并获官方奖励。

漏洞报告 #3027478 - 链式漏洞导致完全控制群组直播账户与无法删除的创建者

漏洞摘要

TikTok LIVE后端平台存在不安全直接对象引用(IDOR)漏洞,可能导致用户获得超出其账户权限的访问控制权。感谢@eneri向我们的团队报告此问题。

时间线

  • 2025年3月10日 1:16 UTC
    eneri向TikTok提交报告

  • 2025年3月11日 11:32 UTC
    eneri发布评论

  • 2025年3月12日 17:54 UTC
    eneri发布评论(更新)

  • 2025年3月18日 0:05 UTC
    eneri请求HackerOne支持调解

  • 2025年3月29日 1:46 UTC
    eneri发布评论

  • 2025年4月9日 9:21 UTC
    HackerOne分析员sam将状态改为"待项目审核"

  • 2025年4月10日 12:14 UTC
    eneri发布评论

  • 2025年4月21日 5:38 UTC
    TikTok员工tt_zr将状态改为"需要更多信息"

  • 2025年4月21日 6:23 UTC
    eneri将状态改回"待项目审核"

  • 2025年4月21日 7:39 UTC
    TikTok员工tt_zr再次将状态改为"需要更多信息"(更新)

  • 2025年4月21日 8:47 UTC
    eneri将状态改回"待项目审核"

  • 2025年4月21日 18:21 UTC
    eneri发布评论(更新)

  • 2025年4月21日 18:26 UTC
    eneri发布评论(更新)

  • 2025年4月28日 6:12 UTC
    TikTok员工tt_zr将严重性从关键降为中等(5.9分)

  • 2025年4月28日 6:14 UTC
    TikTok员工tt_zr将状态改为"已分类"

  • 2025年4月29日 1:03 UTC
    eneri邀请另一位安全研究员作为协作者

  • 2025年4月29日 1:04 UTC
    katarinabluu作为协作者加入报告

  • 2025年5月2日 8:20 UTC
    TikTok向katarinabluu发放奖金 TikTok向eneri发放奖金

  • 2025年6月26日 9:05 UTC
    TikTok员工tt_zr关闭报告并将状态改为"已解决"

  • 2025年6月26日 11:19 UTC
    eneri请求披露此报告

  • 2025年6月27日 20:16 UTC
    TikTok员工tt_sr发布评论

  • 2025年6月28日 1:21 UTC
    eneri发布评论

  • 8天前
    TikTok员工tt_sr更改报告标题 TikTok员工tt_sr同意披露此报告 此报告已被披露

报告详情

  • 报告时间:2025年3月10日 1:16 UTC
  • 报告者:eneri
  • 报告对象:TikTok
  • 管理状态:已管理
  • 报告ID:#3027478
  • 解决状态:已解决
  • 严重性:中等(5.9分)
  • 披露时间:2025年7月8日 23:23 UTC
  • 弱点类型:权限提升
  • CVE ID:无
  • 奖金:隐藏
  • 账户详情:无
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次