TikTok LIVE平台IDOR漏洞致群组直播账户完全控制与不可删除创作者

本文详细披露了TikTok LIVE后端平台存在的IDOR漏洞,攻击者可越权控制群组直播账户并创建不可删除的创作者角色,漏洞评级为中等严重性(5.9分),包含完整的时间线与处理过程。

漏洞报告 #3027478 - 链式漏洞导致完全控制群组直播账户与不可删除创作者

漏洞概要

TikTok LIVE后端平台存在不安全的直接对象引用(IDOR)漏洞,可能导致用户获得超出其账户权限的访问控制权。感谢@eneri向我们的团队报告此问题。

时间线

  • 2025年3月10日 1:16 UTC - eneri向TikTok提交报告
  • 2025年3月11日 - eneri发布评论
  • 2025年3月12日 - eneri发布评论
  • 2025年3月18日 - eneri请求HackerOne支持调解
  • 2025年4月9日 - HackerOne分析员将状态改为"待项目审核"
  • 2025年4月21日 - TikTok员工要求更多信息,多次状态变更
  • 2025年4月28日 - 严重等级从严重调整为中等(5.9分),状态改为"已分类"
  • 2025年4月29日 - katarinabluu作为协作者加入报告
  • 2025年5月2日 - TikTok向eneri和katarinabluu发放奖金
  • 2025年6月26日 - 报告状态改为"已解决"
  • 2025年6月26日 - eneri请求披露此报告
  • 9天前 - 报告标题被修改,同意披露
  • 9天前 - 报告已被披露

漏洞详情

报告时间: 2025年3月10日 1:16 UTC
报告者: eneri
报告对象: TikTok
状态: 已解决
严重性: 中等 (5.9分)
披露时间: 2025年7月8日 23:23 UTC
弱点类型: 权限提升
CVE ID: 无
奖金: 隐藏
账户详情: 无

技术影响

该IDOR漏洞允许攻击者:

  • 获得对群组直播账户的完全控制权限
  • 创建无法删除的创作者账户
  • 超越正常用户权限执行特权操作

处理结果

漏洞已被TikTok安全团队成功修复,所有受影响系统已得到妥善保护。报告者因负责任的披露获得了相应的奖金奖励。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次