Basecamp | 报告 #3079738 - 双点击账户接管 | HackerOne

跳转到主要内容 > Hacktivity 机会目录排行榜了解更多关于 HackerOne 登录 40#3079738 复制报告 ID 复制报告 ID 双点击账户接管分享：Basecamp 菜单菜单

本报告涉及 HEY Email 安卓应用程序（com.basecamp.hey），该应用存在双点击账户接管漏洞。由于对传入深度链接的处理不当，如果攻击者能够诱使用户点击链接并执行撤销操作，则可以利用该漏洞将用户的授权承载令牌发送到攻击者控制的服务器。该漏洞具体发生在 MainActivity 组件处理包含特定查询参数的 URL 附加数据的深度链接时。

时间线

• fr4via 向 Basecamp 提交报告

• 2025 年 4 月 6 日 11:02 UTC

• rosa Basecamp 员工发表评论

• 2025 年 4 月 7 日 20:31 UTC

• rosa Basecamp 员工将严重性从高（8.8）更新为高（8.1）

• 2025 年 4 月 8 日 08:17 UTC

• fr4via 发表评论

• 2025 年 4 月 8 日 09:36 UTC

• rosa Basecamp 员工将状态更改为"已分类"

• 2025 年 4 月 8 日 09:40 UTC

• fr4via 发表评论

• 2025 年 4 月 8 日 09:40 UTC

• Basecamp 向 fr4via 发放奖金

• 2025 年 4 月 9 日 17:34 UTC

• fr4via 发表评论

• 2025 年 4 月 9 日 17:41 UTC

• rosa Basecamp 员工关闭报告并将状态更改为"已解决"

• 2025 年 4 月 10 日 11:19 UTC

• fr4via 发表评论

• 2025 年 4 月 10 日 12:44 UTC

• fr4via 发表评论

• 2025 年 4 月 17 日 06:17 UTC

• rosa Basecamp 员工发表评论

• 2025 年 4 月 17 日 08:03 UTC

• fr4via 请求披露此报告

• 4 天前

• rosa Basecamp 员工发表评论

• 4 天前

• fr4via 发表评论

• 4 天前

• rosa Basecamp 员工同意披露此报告

• 4 天前

• 此报告已被披露

• 4 天前

报告详情

报告时间：2025 年 4 月 6 日 11:02 UTC

报告者：fr4via

报告对象：Basecamp

参与者：-

报告 ID：#3079738

状态：已解决

严重性：高（8.1）

披露时间：2025 年 11 月 11 日 9:14 UTC

弱点：不可信数据反序列化

CVE ID：无

奖金：隐藏

账户详情：无

看起来您的 JavaScript 已被禁用。要使用 HackerOne，请在浏览器中启用 JavaScript 并刷新此页面。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享