Basecamp | 报告 #3079738 - 双点击账户接管 | HackerOne
跳转到主要内容 > Hacktivity机会目录排行榜了解更多关于HackerOne登录40#3079738复制报告ID复制报告ID双点击账户接管分享:Basecamp菜单菜单
本报告涉及HEY Email安卓应用程序(com.basecamp.hey),该应用存在双点击账户接管漏洞。由于对传入深度链接的处理不当,如果攻击者能够诱使用户点击链接并执行撤销操作,则可以利用该漏洞将用户的授权承载令牌发送到攻击者控制的服务器。该漏洞具体发生在MainActivity组件处理包含特定查询参数的URL附加数据的深度链接时。
时间线
-
fr4via 向Basecamp提交报告
- 2025年4月6日 11:02 UTC
-
rosa Basecamp员工发表评论
- 2025年4月7日 20:31 UTC
-
rosa Basecamp员工将严重性从高(8.8)更新为高(8.1)
- 2025年4月8日 08:17 UTC
-
fr4via 发表评论
- 2025年4月8日 09:36 UTC
-
rosa Basecamp员工将状态更改为"已分类"
- 2025年4月8日 09:40 UTC
-
fr4via 发表评论
- 2025年4月8日 09:40 UTC
-
Basecamp 向fr4via发放奖金
- 2025年4月9日 17:34 UTC
-
fr4via 发表评论
- 2025年4月9日 17:41 UTC
-
rosa Basecamp员工关闭报告并将状态更改为"已解决"
- 2025年4月10日 11:19 UTC
-
fr4via 发表评论
- 2025年4月10日 12:44 UTC
-
fr4via 发表评论
- 2025年4月17日 06:17 UTC
-
rosa Basecamp员工发表评论
- 2025年4月17日 08:03 UTC
-
fr4via 请求披露此报告
- 4天前
-
rosa Basecamp员工发表评论
- 4天前
-
fr4via 发表评论
- 4天前
-
rosa Basecamp员工同意披露此报告
- 4天前
-
此报告已被披露
- 4天前
报告详情
报告时间:2025年4月6日 11:02 UTC
报告者:fr4via
报告对象:Basecamp
参与者:-
报告ID:#3079738
状态:已解决
严重性:高(8.1)
披露时间:2025年11月11日 9:14 UTC
弱点:不可信数据反序列化
CVE ID:无
奖金:隐藏
账户详情:无
看起来您的JavaScript已被禁用。要使用HackerOne,请在浏览器中启用JavaScript并刷新此页面。
