某單位 Firebase 即時資料庫存取控制不當漏洞 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2026-00916
  • Title: 某單位 Firebase 即時資料庫存取控制不當漏洞
  • Introduction: 本網站使用的 Firebase Realtime Database 安全規則設定為「公開讀取與公開寫入」,任何未經身分驗證的網際網路使用者皆可透過單一 REST 請求讀取整個資料庫,並覆寫所有排行榜與重播資料,屬於存取控制不當(Security Rules 設定錯誤)之資訊安全漏洞。

處理狀態

目前狀態

新提交
Last Update : 2026/07/11
  • 新提交
  • 未審核
  • 未通報
  • 未修補
  • 未複測
  • 公開

處理歷程

  • 2026/07/11 14:31:45 : 新提交 (由 Ianon 更新此狀態)

詳細資料

  • ZDID:ZD-2026-00916
  • 通報者:Ianon (Ianon)
  • 風險:中
  • 類型:存取控制缺陷 (Broken Access Control)

留言討論

;