关键信息 漏洞概述 CVE编号: CVE-2024-53359 漏洞描述: Zalo API 的一个漏洞允许攻击者在未经用户同意的情况下添加好友,通过利用API中的不安全权限实现。 发现时间: 2024年4月初 修复时间: 2024年4月15日 受影响的API Endpoint: ACCEPT_FRIEND URL: https://friend.talk.zing.vn/api/friend/accept 利用方式 方法: 发送构造的POST请求到ACCEPT_FRIEND端点,使用特定参数,可以强制建立好友连接而无需用户批准。 示例POST请求: 成功响应: 影响 类型: 不安全权限 效果: 如果攻击者拥有你的电话号码,允许未经授权的好友连接。 CVSS评分: 5.3(中等) 时间线 发现: 2024年4月初 修复发布: 2024年4月15日