Facebook Creator Studio 系列视频功能任意图片删除漏洞分析报告

漏洞概述

本报告详细分析了Facebook Creator Studio中系列视频(Series Feature)功能存在的一个高危漏洞，该漏洞允许攻击者删除Facebook平台上的任意图片，无论图片所有者是谁。漏洞发现者因此获得了Facebook官方$10,000的奖励。

漏洞背景

Facebook Creator Studio简介

Facebook Creator Studio是Facebook为内容创作者提供的综合管理平台，具有以下功能：

• 跨Facebook主页和Instagram帐户发布内容
• 内容变现工具
• 表现衡量工具
• 粉丝互动功能

系列视频功能(Series Feature)

系列视频功能允许用户：

1. 将多个视频组合成专辑影片
2. 为系列视频添加宣传海报("Poster Art")和封面图片("Cover Image")
3. 发布后供朋友圈和其他用户观看

漏洞发现过程

正常功能流程

1. 用户创建系列视频
2. 上传图片作为宣传海报和封面
3. 系统为上传的图片分配唯一fbid(图片ID)
4. 用户可选择删除系列视频

漏洞利用点

1. 图片ID(fbid)可控：在上传封面图片的请求中，系统接受任意有效的fbid作为参数
2. 删除操作级联：删除系列视频时，系统会级联删除所有关联资源，包括封面图片

漏洞复现步骤

1. 在创建系列视频时，观察上传封面图片的请求：

   原始请求包含图片ID(fbid): 2903739103044967
   

2. 修改请求，将图片ID替换为其他用户账户下的任意图片ID：

   修改后的图片ID: 2467651590213206
   

3. 提交修改后的请求，系统接受并成功将该图片设置为封面

4. 执行删除系列视频操作

5. 观察结果：

   • 系列视频被删除
   • 作为封面的其他用户图片(2467651590213206)也被删除
   • 被删除的图片变为不可访问状态

漏洞原理分析

根本原因

1. 授权缺失：系统在处理封面图片ID时，未验证请求者是否有权操作该图片
2. 级联删除无限制：删除操作时，系统无条件删除所有关联资源，不考虑资源所有权

技术细节

1. 前端未对用户输入的图片ID进行有效性验证
2. 后端服务在处理图片ID时缺乏所有权检查
3. 删除操作的事务处理中未加入权限控制

漏洞影响

影响范围

• 所有Facebook平台上的图片资源
• 无论图片所有者是谁，只要知道图片ID即可删除

潜在危害

1. 恶意删除重要图片资源
2. 破坏用户内容完整性
3. 可能用于勒索或其他恶意目的

修复建议

短期修复方案

1. 在封面图片ID处理逻辑中加入所有权验证：

   • 检查请求用户是否有权使用该图片作为封面
   • 如果图片不属于用户或用户未被授权，拒绝请求

2. 修改删除逻辑：

   • 删除系列视频时，不删除封面图片
   • 或仅删除用户有权限的封面图片

长期安全加固

1. 实施资源访问的统一权限控制系统
2. 对所有用户提供的资源ID进行严格验证
3. 建立完善的级联删除权限检查机制
4. 增加操作审计日志，记录所有删除操作

漏洞报告流程

1. 发现者通过Facebook安全报告渠道提交漏洞
2. Facebook安全团队快速响应并确认漏洞
3. 漏洞修复后，Facebook发放$10,000奖励

经验总结

1. 关注新功能：新上线功能往往是安全漏洞的高发区
2. ID可控测试：对所有接受资源ID的参数进行篡改测试
3. 级联操作风险：特别注意删除、更新等操作的级联影响
4. 权限验证：任何涉及资源访问的操作都必须验证权限

参考资源

原始漏洞报告来源: darabi, clouds
FreeBuf编译整理，转载请注明来自FreeBuf.COM