Yelp | 报告 #2947762 - 在 https://proze.yelp.com/tmsubscribe.net/vidsn.aspx 的反射型XSS漏洞 | HackerOne

漏洞摘要

Yelp的proze.yelp.com端点存在跨站脚本(XSS)漏洞，攻击者能够注入恶意脚本，影响该域名用户的安全。

时间线

2025年1月19日 3:12am UTC

• 0xold 向Yelp提交漏洞报告

2025年2月12日 8:17pm UTC

• nmaleki_xc4pi (Yelp员工) 发表评论

2025年2月12日 8:26pm UTC

• 0xold 更新评论

2025年4月4日 8:19pm UTC

• 0xold 发表评论

2025年4月18日 2:15pm UTC

• 0xold 发表评论

2025年6月9日 2:45pm UTC

• Yelp 向0xold发放赏金

2025年6月9日 2:48pm UTC

• yelpchomps_01 (Yelp员工) 关闭报告并将状态改为"已解决"

2025年6月9日 2:57pm UTC

• 0xold 发表评论

2025年6月9日 3:07pm UTC

• 0xold 更新评论（两次）

2025年6月9日 3:04pm UTC

• 0xold 发表评论

2025年6月9日 6:07pm UTC

• yelpchomps_01 将严重等级从中等(5.6)调整为低(3.8)
• yelpchomps_01 发表评论

2025年6月10日 3:11am UTC

• 0xold 更新评论

2025年6月10日 3:06am UTC

• 0xold 发表评论

2025年6月23日 12:01pm UTC

• 0xold 请求公开此报告

2025年6月23日 3:06pm UTC

• yelpchomps_01 发表评论

2025年6月23日 3:14pm UTC

• 0xold 更新评论

2025年6月23日 6:30pm UTC

• yelpchomps_01 发表评论

2025年6月23日 6:35pm UTC

• 0xold 更新评论

2025年6月23日 7:05pm UTC

• yelpchomps_01 将严重等级从低(3.8)调整为中等(5.0)

2025年6月23日 7:12pm UTC

• Yelp 向0xold发放赏金

2025年6月30日 3:06pm UTC

• yelpjosh (Yelp员工) 同意公开此报告
• 报告已被公开
• Yelp 锁定此报告

2025年6月30日 11:04pm UTC

• h1_mediation_ryan (HackerOne员工) 以额外权限加入此报告

报告详情

报告时间: 2025年1月19日 3:12am UTC
报告者: 0xold
报告对象: Yelp
报告ID: #2947762
状态: 已解决
严重等级: 中等 (5.0)
公开时间: 2025年6月30日 3:06pm UTC
漏洞类型: 跨站脚本(XSS) - 反射型
CVE ID: 无
赏金: 隐藏
账户详情: 无

技术说明: 看起来您的JavaScript被禁用了。要使用HackerOne，请在浏览器中启用JavaScript并刷新此页面。