Vkcom


reports in last 90 days

124

disclosed resolved issues

0

disclosed informative issues

0

disclosed N/A issues

Listed on HackerOne — Updated on 2019/10/15

Bug Title Bug Type Found By Report Info Report Status

Medium Обходим 2FA и/или получаем access_token, если мы когда-либо были на аккаунте жертвы

Improper Authentication - Generic povargek Time to triage: 0 Days and 0 hours


Time to close: 48 Days and 0 hours
Resolved

High Просмотр любых статей по их айди.

Information Disclosure cheatboss Time to triage: 0 Days and 6 hours


Time to close: 0 Days and 2 hours
Resolved

High Бесконечный доступ к аккаунту если мы смогли хотя бы раз зайти на аккаунт.

Privilege Escalation cheatboss Time to triage: 0 Days and 17 hours


Time to close: 3 Days and 10 hours
Resolved

No rating Изменение текстов вариантов ответа в опросах

None supplied umfc Time to triage: 1 Days and 0 hours


Time to close: 0 Days and 3 hours
Resolved

No rating CSRF Добавить просмотр к записи без ведома пользователя.

None supplied lincoln9932 Time to triage: 0 Days and 12 hours


Time to close: 65 Days and 2 hours
Resolved

High XSS в товарах

None supplied lincoln9932 Time to triage: 1 Days and 8 hours


Time to close: 1 Days and 2 hours
Resolved

Low Уязвимость дает возможность смотреть кто лайкал приватным фото или видео

Cross-Site Request Forgery (CSRF) pisarenko Time to triage: 21 Days and 14 hours


Time to close: 418 Days and 10 hours
Resolved

Low [Клевер/Android] Небезопасный BroadcastReceiver позволяет создавать окно диалога в приложении посредством другого неавторизованного приложения

Improper Access Control - Generic norver Time to triage: 0 Days and 20 hours


Time to close: 34 Days and 14 hours
Resolved

No rating Page replacement and redirect loop

Violation of Secure Design Principles page1337 Time to triage: 0 Days and 0 hours


Time to close: 19 Days and 1 hours
Resolved

Low Логирование ответов запросов VK API в приложении Клевер

Insecure Storage of Sensitive Information norver Time to triage: 1 Days and 9 hours


Time to close: 63 Days and 3 hours
Resolved

Low Просмотр инфы на странице пользователя или группы который тебя добавил в ЧС

Information Disclosure pisarenko Time to triage: 0 Days and 21 hours


Time to close: 47 Days and 21 hours
Resolved

Low [0.vk.com] Reflected XSS на странице подтверждения.

Cross-site Scripting (XSS) - Reflected randbug101 Time to triage: 8 Days and 20 hours


Time to close: 3 Days and 3 hours
Resolved

No rating Просмотр лайков и репостов фотографии, которая находятся в приватном альбоме

Violation of Secure Design Principles page1337 Time to triage: 4 Days and 10 hours


Time to close: 119 Days and 1 hours
Resolved

High Узнаем несколько цифр номера телефона юзера (можно флудить смс), всего раз узнав его remixsid и его ид юзера, и установка оффлайна юзерам.

Insufficient Session Expiration povargek Time to triage: 0 Days and 6 hours


Time to close: 29 Days and 20 hours
Resolved

No rating Вставляем свой код в мобильном приложении в разделе помощи сообществам

Privacy Violation catferq Time to triage: 3 Days and 11 hours


Time to close: 15 Days and 2 hours
Resolved

Low Получение БД кэша из Android-приложения через стороннее приложение

Information Exposure Through Debug Information ilyamodder Time to triage: 18 Days and 21 hours


Time to close: 0 Days and 0 hours
Resolved

High CVE-2018-0296

None supplied linkks Time to triage: 0 Days and 8 hours


Time to close: 0 Days and 11 hours
Resolved

High Проверяем принадлеженость email и номера телефона к определенному юзеру / CSRF на смену номера для некоторых пользователей

Cross-Site Request Forgery (CSRF) povargek Time to triage: 2 Days and 4 hours


Time to close: 47 Days and 1 hours
Resolved

High Долгоживущий хеш + получение частичного доступа к аккаунту после сброса сессии

None supplied executor Time to triage: 1 Days and 1 hours


Time to close: 109 Days and 17 hours
Resolved

Medium Уязвимый класс WebView

None supplied shell_c0de Time to triage: 0 Days and 11 hours


Time to close: 3 Days and 23 hours
Resolved

Low Bypass User Interaction to initiate a VoIP call to Another User

Privilege Escalation heeeeen Time to triage: 29 Days and 3 hours


Time to close: 36 Days and 21 hours
Resolved

Low [Клевер/Android] Небезопасный BroadcastReceiver позволяет создавать окно диалога в приложении посредством другого неавторизованного приложения

Improper Access Control - Generic norver Time to triage: 0 Days and 20 hours


Time to close: 34 Days and 14 hours
Resolved

No rating Получение вечного доступа к Long Pool и авторизованой страницы сайта, если мы когда-либо были на аккаунте жертвы

Improper Authentication - Generic povargek Time to triage: 1 Days and 1 hours


Time to close: 21 Days and 22 hours
Resolved

High Доступ к администраторским faq

Information Disclosure executor Time to triage: 0 Days and 1 hours


Time to close: 0 Days and 0 hours
Resolved

Critical Stealing Private Information in VK Android App through PlayerProxy Port Remotely

Information Disclosure heeeeen Time to triage: 27 Days and 7 hours


Time to close: 99 Days and 17 hours
Resolved