Просмотр аватарки замороженной страницы/частной группы. |
None supplied |
azimoff |
Low |
2021-12-01 |
Просмотр аттачей удаленного сообщения..... |
Information Disclosure |
executor |
Low |
2021-12-01 |
Получаем название и аватарку (50x50) частной группы. |
Information Disclosure |
azimoff |
Low |
2021-12-01 |
XSS в сюжетах. |
None supplied |
azimoff |
Low |
2021-12-01 |
XSS в выборе товара. |
None supplied |
azimoff |
Low |
2021-12-01 |
Раскрытие названия частной группы через старый бокс просмотра фото. |
Information Disclosure |
executor |
Medium |
2021-12-01 |
Reflected XSS в m.vk.com |
None supplied |
executor |
High |
2021-11-05 |
CSRF на загрузку аудиозаписей |
Cross-Site Request Forgery (CSRF) |
executor |
Medium |
2021-11-05 |
Злом (virus).. Смотрим кто голосовал в анонимном опросе!! |
Information Disclosure |
executor |
Medium |
2021-11-05 |
CSRF в m.vk.com |
Cross-Site Request Forgery (CSRF) |
executor |
Medium |
2021-11-05 |
CSRF в виджетах |
Cross-Site Request Forgery (CSRF) |
circuit |
None |
2021-11-05 |
Open redirect на мобильной версии в контакте (m.vk.com |
Open Redirect |
executor |
Medium |
2021-11-05 |
Stored XSS вирус в al_video.php?act=a_choose_video_box |
Cross-site Scripting (XSS) - Stored |
executor |
High |
2021-11-05 |
Просмотр удаленного сообщения из лс группы + возможность его переслать. |
Information Disclosure |
executor |
Medium |
2021-11-05 |
Обход фильтра на ссылки в загрузке историй.. |
None supplied |
executor |
Low |
2021-11-05 |
Просмотр новых фотографии со стены частной/закрытой группы или закрытого профиля. |
Information Disclosure |
executor |
Medium |
2021-11-05 |
Stored XSS в m.vk.com/video |
Cross-site Scripting (XSS) - Stored |
executor |
High |
2021-11-05 |
Делаем плейлист от любого(почти) пользователя/группы/артиста. |
None supplied |
executor |
Low |
2021-11-05 |
Reflected xss в m.vk.com/chatjoin |
Cross-site Scripting (XSS) - Reflected |
executor |
Medium |
2021-11-05 |
Загружаем видеозаписи в основной альбом любой открытой группе/паблику. |
None supplied |
executor |
High |
2021-11-05 |
Open redirect в карусели сообщения бота |
Open Redirect |
manaenckov |
Low |
2021-06-24 |
[VK Android] Access to app protected components leads to arbitrary code execution |
None supplied |
bagipro |
No rating |
2021-05-27 |
CSRF на установку своей почты к аккаунту. |
Cross-Site Request Forgery (CSRF) |
executor |
Critical |
2021-05-23 |
XSS Reflected in m.vk.com |
Cross-site Scripting (XSS) - Reflected |
davscol94 |
No rating |
2020-11-10 |
Отправка произвольных запросов к API с правами любого установленного у пользователя iframe/miniapp |
Cross-Site Request Forgery (CSRF) |
libneko |
Medium |
2020-11-07 |
Отправка подарков/стикерпаков не теряя голоса. |
None supplied |
bussy |
Medium |
2020-03-28 |
Clickjacking vkpay |
UI Redressing (Clickjacking) |
0x3c3e |
Medium |
2019-12-30 |
Мини-уязвимость в обработке ссылок |
None supplied |
qwe |
Low |
2019-12-10 |
CVE-2018-0296 |
None supplied |
linkks |
High |
2019-06-18 |
Получение БД кэша из Android-приложения через стороннее приложение |
Information Exposure Through Debug Information |
ilyamodder |
Low |
2019-06-11 |
Bypass User Interaction to initiate a VoIP call to Another User |
Privilege Escalation |
heeeeen |
Low |
2018-11-12 |
[Клевер/Android] Небезопасный BroadcastReceiver позволяет создавать окно диалога в приложении посредством другого неавторизованного приложения |
Improper Access Control - Generic |
norver |
Low |
2018-10-26 |
Получение вечного доступа к Long Pool и авторизованой страницы сайта, если мы когда-либо были на аккаунте жертвы |
Improper Authentication - Generic |
povargek |
No rating |
2018-10-07 |
Stealing Private Information in VK Android App through PlayerProxy Port Remotely |
Information Disclosure |
heeeeen |
Critical |
2018-09-02 |
Доступ к администраторским faq |
Information Disclosure |
executor |
High |
2018-09-02 |
XSS-уязвимость, связанная с загрузкой файлов |
Cross-site Scripting (XSS) - Stored |
dvudvudvu |
Critical |
2018-08-02 |
Просмотр записей пользователя, который тебя заблокировал |
None supplied |
darkprism |
No rating |
2018-08-02 |
Просмотр приложений любого пользователя / группы |
Information Disclosure |
trainzment |
Medium |
2018-07-28 |
Общий CSRF токен для сообщений сообществ, или как подставить соседа-редактора |
Business Logic Errors |
povargek |
Medium |
2018-07-06 |
Просмотр приватных видео записей у Пользователей |
Information Disclosure |
pisarenko |
Low |
2018-07-06 |
Получение чужого номера телефона (все цифры) через форму восстановления пароля |
Privacy Violation |
namthar |
High |
2018-06-30 |
Уязвимость дает возможность видеть записи , которые предлагаются пабликам + еще |
Cross-Site Request Forgery (CSRF) |
pisarenko |
Low |
2018-06-30 |
Open Redirection Vulnerability in m.vk.com |
Open Redirect |
shad0walk3rtn |
Low |
2018-06-29 |
Уязвимость дает возможность смотреть кто лайкал приватным фото или видео |
Cross-Site Request Forgery (CSRF) |
pisarenko |
Low |
2018-06-24 |
Просмотр любых записей на стене |
Information Disclosure |
trainzment |
High |
2018-06-18 |
[Привязка email к странице] by [email protected] | email-flood |
None supplied |
morto-dillinger |
None |
2018-06-17 |
Получение предложенных фотографий паблику |
Information Disclosure |
pisarenko |
Medium |
2018-05-30 |
Часть админки доступна для всех пользователей |
Information Disclosure |
trainzment |
Low |
2018-05-22 |
Reflected XSS в /al_audio.php |
Cross-site Scripting (XSS) - Reflected |
executor |
High |
2018-05-22 |
Раскрытие информации о частной группе или приложении |
Information Disclosure |
trainzment |
Medium |
2018-05-12 |
Определение id по номеру телефона |
Information Disclosure |
arhimason |
Medium |
2018-05-06 |
Смотрим фотографии из частных/закрытых групп. |
Information Disclosure |
executor |
High |
2018-04-26 |
ПРОСМОТР ЛЮБЫХ ПРИВАТНЫХ ФОТО + ПРЕВЬЮ ЛЮБОГО ПРИВАТНОГО ВИДЕО. |
None supplied |
rogov |
Critical |
2018-04-26 |
CSRF на "ловлю гостей" и раскрытие аудиотрансляции в частной группе |
Cross-Site Request Forgery (CSRF) |
povargek |
Medium |
2018-04-26 |
Просмотр части номера телефона и отправка на него SMS, всего раз скомпроментировав аккаунт |
Business Logic Errors |
povargek |
Medium |
2018-04-06 |
Просмотр любого видео из частной группы и кто загрузил |
Information Disclosure |
trainzment |
Medium |
2018-04-02 |
clickjacking в /lead_forms_app.php |
None supplied |
executor |
Medium |
2018-04-02 |
Blind XXE on pu.vk.com |
XML External Entities (XXE) |
barracuda_ |
Medium |
2018-03-04 |
Недочет в поиске по хештегам |
Cryptographic Issues - Generic |
pisarenko |
None |
2018-03-04 |
Отсутствие flood контроля в ИСТОРИЯХ вк |
Heap Overflow |
pisarenko |
Low |
2018-03-04 |
новенькое (старенькое upgreid) хакерство: делаем демократию во всем в контакте (XSS - на англиском) |
Cross-site Scripting (XSS) - Stored |
yango |
Critical |
2018-03-04 |
CSRF отредактировать карточки в посте у группы |
Cross-Site Request Forgery (CSRF) |
lincoln9932 |
None |
2018-03-04 |
XSS в колбек апи в сообществах |
Cross-site Scripting (XSS) - DOM |
pisarenko |
No rating |
2018-02-24 |
error |
Information Disclosure |
linkks |
No rating |
2018-02-24 |
Backup Source Code Detected |
Information Disclosure |
linkks |
Critical |
2018-02-24 |
Просмотр аватара и название частной группы |
None supplied |
pisarenko |
Low |
2018-02-24 |
Opcode Cache |
Information Disclosure |
linkks |
High |
2018-02-22 |
Просмотр привязного к странице email, всего лишь раз скомпрометировав письмо-уведомление |
Privacy Violation |
povargek |
No rating |
2018-02-20 |
Монипулирование на страницах пользоватлей значением "Подсказывать стикеры в полях ввода" |
CRLF Injection |
pisarenko |
Low |
2018-02-09 |
CSRF создание опроса от имени пользователя, зная id приложения. + небольшой флуд сообщениями на стену |
None supplied |
lincoln9932 |
No rating |
2018-02-09 |
Изменение текстов вариантов ответа в опросах |
None supplied |
umfc |
No rating |
2018-01-30 |
Просмотр Участников ЧАСТНОЙ встречи |
Information Disclosure |
pisarenko |
Medium |
2017-12-31 |
self-xss ads_easy_promote vk.com |
None supplied |
lincoln9932 |
No rating |
2017-12-31 |
XSS работающая по всему сайту, где есть упоминания |
Cross-site Scripting (XSS) - Generic |
flyink |
Medium |
2017-12-31 |
Воскрешение сессии после сброса сессий / смены пароля / принудительной смены пароля |
Improper Authentication - Generic |
povargek |
No rating |
2017-12-31 |
Хранимая XSS в функционале добавления аудио в WYSIWYG |
Cross-site Scripting (XSS) - Stored |
abr1k0s |
High |
2017-12-31 |
Узнаем название и аватарку частной группы, по ID приложения. |
None supplied |
sql |
Low |
2017-12-31 |
Хранимая XSS на странице "Виджет для авторизации" |
Cross-site Scripting (XSS) - Stored |
abr1k0s |
High |
2017-12-31 |
Stored xss в /lead_forms_app.php |
Cross-site Scripting (XSS) - Stored |
executor |
High |
2017-11-28 |
XSS в личных сообщениях |
Cross-site Scripting (XSS) - Stored |
vladvis |
High |
2017-11-27 |
XSS в товарах |
None supplied |
lincoln9932 |
High |
2017-10-29 |
Хранимая XSS в группе VK |
Cross-site Scripting (XSS) - Stored |
sql |
High |
2017-10-28 |
CSRF Добавить просмотр к записи без ведома пользователя. |
None supplied |
lincoln9932 |
No rating |
2017-10-25 |
XSS в приглашении в группу |
Cross-site Scripting (XSS) - Reflected |
rooteval |
High |
2017-10-25 |
XSS в названии сервера |
Cross-site Scripting (XSS) - DOM |
pisarenko |
High |
2017-09-20 |
Раскрытие имени файла приватных документов |
Privacy Violation |
zhumarin |
Medium |
2017-09-20 |
XSS в комментариях от имени сообщества |
Cross-site Scripting (XSS) - DOM |
flyink |
High |
2017-09-20 |
Создание ссылки от имени чужой страницы vk.cc |
Cross-Site Request Forgery (CSRF) |
pisarenko |
Medium |
2017-09-20 |
CSRF Проверить является ли пользователь админом группы. |
Cross-Site Request Forgery (CSRF) |
lincoln9932 |
No rating |
2017-09-14 |
api.vk.com отдаёт в ответ HTML авторизированную страницу vk.com |
Business Logic Errors |
zhumarin |
Medium |
2017-08-30 |
Узнать название частной группы и ее аватарку по видеоролику. |
None supplied |
lincoln9932 |
Low |
2017-07-25 |
Новый 2FA Bypass |
Improper Authentication - Generic |
povargek |
No rating |
2017-07-23 |
Нет маркера на добавление песни в плейлист пользователя |
CRLF Injection |
pisarenko |
Low |
2017-07-23 |
CSRF на сброс ключа трансляции. |
Cross-Site Request Forgery (CSRF) |
lincoln9932 |
Low |
2017-07-09 |
Посмотреть видеоролики, которые пользователь когда-либо скидывал в ЛС. |
Privilege Escalation |
lincoln9932 |
Medium |
2017-07-09 |
local file disclosure via FFmpeg hls processing |
Information Disclosure |
neex |
No rating |
2017-06-24 |
Написать от имени любого пользователя на его стене, если он перейдет по ссылке. https://vk.com/al_video.php |
Privilege Escalation |
lincoln9932 |
Medium |
2017-06-18 |
Подмена SSL-сертификата для любой группы в секции Управление группой->Работа с API неавторизированным пользователем. |
Insecure Direct Object Reference (IDOR) |
test_universe |
Low |
2017-06-07 |
CSRF в получении резервных токенов+framing , приводящие к компроментации 2fa |
Cross-Site Request Forgery (CSRF) |
abr1k0s |
No rating |
2017-05-31 |
Возможность взлома любого пользователя, не использующего двухфакторной аутентификации, через получения кода восстановления на чужой номер. |
Privilege Escalation |
norver |
Critical |
2017-05-20 |
Второй способ обхода 2FA |
Improper Authentication - Generic |
povargek |
No rating |
2017-05-09 |
SSRF через Share-ботов |
Server-Side Request Forgery (SSRF) |
f4lrik |
No rating |
2017-04-22 |
Обход: "Аудиозапись недоступна для прослушивания в Вашем регионе." |
Privilege Escalation |
shady-r |
No rating |
2017-04-22 |
Missing Server Side Rate Limiting can Lead to VK Account Take over |
Violation of Secure Design Principles |
mangotango |
No rating |
2017-04-19 |
Обход 2ух-шаговой авторизации / 2FA Bypass |
Improper Authentication - Generic |
povargek |
No rating |
2017-04-12 |
Возможность смотреть видео рекомендации любого пользователя вконтакте |
None supplied |
ryaz23 |
No rating |
2017-03-29 |
Возможность провести DoS атаку от имени vk.com сервера |
None supplied |
denispugachev |
No rating |
2017-03-06 |
Able to intercept app Traffic after choosing up the Secured Connection using SSL (HTTPS) |
Information Disclosure |
bugwrangler |
No rating |
2017-03-03 |
API: Bug in method auth.signup , дающий возможность бесконечно звонить |
Violation of Secure Design Principles |
pisarenko |
No rating |
2017-02-13 |
Добавление в меню сообщества без ведома пользователя (нажатия пользователем) |
Cross-Site Request Forgery (CSRF) |
pisarenko |
No rating |
2017-02-13 |
Уязвимость получения всех номеров телефонов вк (по совместительству логинов профилей) |
Code Injection |
pisarenko |
No rating |
2017-02-13 |
HTML Injection possible due to bad filter |
Cross-site Scripting (XSS) - Generic |
ghjfgjggfdfhfgsdfssdf |
Low |
2017-02-10 |
Способ узнать имя человека удаленной страницы |
Information Disclosure |
pisarenko |
None |
2017-02-09 |
SSRF (open) - via GET request |
Server-Side Request Forgery (SSRF) |
firex |
No rating |
2017-02-09 |
XSS в upload.php |
Cross-site Scripting (XSS) - Generic |
irek |
No rating |
2017-02-09 |
Уязвимость приватных записей пользователя (личных) |
Information Disclosure |
pisarenko |
Low |
2017-02-09 |
Уязвимость Создание фотографий без ведома пользователей |
Cross-Site Request Forgery (CSRF) |
pisarenko |
No rating |
2017-02-09 |
Способ узнать имя человека удаленной страницы 2 |
Information Disclosure |
pisarenko |
None |
2017-02-09 |
Stored XSS в личных сообщениях |
Cross-site Scripting (XSS) - Generic |
n1__ |
Medium |
2017-01-10 |
vk.com/login.php |
SQL Injection |
nte |
No rating |
2016-12-29 |
Паблики: Модератор паблика может удалять добавленные редакторами материалы с таймером на публикацию. |
Privilege Escalation |
povargek |
No rating |
2016-12-04 |
Дорк |
Information Disclosure |
linkks |
No rating |
2016-11-18 |
Способ узнать имя человека и ВУЗ удаленной страницы |
Privilege Escalation |
grande |
No rating |
2016-10-17 |
Issue in the implementation of captcha and race condition |
Violation of Secure Design Principles |
infosechelper |
No rating |
2016-09-29 |
DOM XSS в /activation.php?act=activate_mobile |
Cross-site Scripting (XSS) - Generic |
abr1k0s |
No rating |
2016-09-22 |
Checking whether user liked the media or not even when you are blocked |
Information Disclosure |
vraj |
No rating |
2016-05-25 |
Отвязываем Twitter от любого профиля вк ! + несколько багов по дизайну |
Cross-Site Request Forgery (CSRF) |
pisarenko |
No rating |
2016-04-04 |
Внедрение внешних сущностей в функционале импорта пользователей YouTrack |
Command Injection - Generic |
bo0om |
No rating |
2016-03-18 |
XSS at http://vk.com on IE using flash files |
Cross-site Scripting (XSS) - Generic |
tunnelshade |
No rating |
2015-10-30 |
Внедрение произвольного javascript-сценария в функционале просмотра изображений мобильной версии сайта |
Cross-site Scripting (XSS) - Generic |
bo0om |
No rating |
2015-10-30 |
Не достаточная проверка логина скайп |
Command Injection - Generic |
abr1k0s |
No rating |
2015-10-30 |
Уязвимость в Указание мест на фото + фича + хакинг |
Code Injection |
pisarenko |
No rating |
2015-09-07 |
API: Bug in method auth.validatePhone |
None supplied |
vladislav805 |
No rating |
2015-07-18 |
XSS on added name album on videos. |
Cross-site Scripting (XSS) - Generic |
ruisilva |
No rating |
2015-06-26 |