[Bounty] 某單位 GraphQL 用戶枚舉與加密錢包地址洩漏 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

ZDID: ZD-2026-00500
Title: [Bounty] 某單位 GraphQL 用戶枚舉與加密錢包地址洩漏
Introduction: GraphQL API 允許未認證用戶透過 sequential base64 ID 枚舉所有平台用戶，並取得其 Ethereum 錢包地址等敏感資訊。

處理狀態

目前狀態

審核中

Last Update : 2026/05/18

新提交
審核中
未通報
未修補
未複測
公開

處理歷程

2026/04/04 00:30:53 : 新提交 (由 Marco 更新此狀態)
2026/04/07 22:48:09 : 審核中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/05/18 20:05:56 : 審核中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/05/18 20:06:47 : 審核中 (由 HITCON ZeroDay 服務團隊更新此狀態)

詳細資料

ZDID：ZD-2026-00500
通報者：mlgzackfly (Marco)
風險：中
類型：資訊洩漏 (Information Leakage)

留言討論

;