VK.com


134 total issues disclosed

$51,200 total paid publicly


Most disclosed (28 disclosures) — Information Disclosure

View disclosed reports



Disclosed Reports


Report Title Vulnerability Type Disclosed By Severity Disclosed on
Просмотр аватарки замороженной страницы/частной группы. None supplied azimoff Low 2021-12-01
Просмотр аттачей удаленного сообщения..... Information Disclosure executor Low 2021-12-01
Получаем название и аватарку (50x50) частной группы. Information Disclosure azimoff Low 2021-12-01
XSS в сюжетах. None supplied azimoff Low 2021-12-01
XSS в выборе товара. None supplied azimoff Low 2021-12-01
Раскрытие названия частной группы через старый бокс просмотра фото. Information Disclosure executor Medium 2021-12-01
Reflected XSS в m.vk.com None supplied executor High 2021-11-05
CSRF на загрузку аудиозаписей Cross-Site Request Forgery (CSRF) executor Medium 2021-11-05
Злом (virus).. Смотрим кто голосовал в анонимном опросе!! Information Disclosure executor Medium 2021-11-05
CSRF в m.vk.com Cross-Site Request Forgery (CSRF) executor Medium 2021-11-05
CSRF в виджетах Cross-Site Request Forgery (CSRF) circuit None 2021-11-05
Open redirect на мобильной версии в контакте (m.vk.com Open Redirect executor Medium 2021-11-05
Stored XSS вирус в al_video.php?act=a_choose_video_box Cross-site Scripting (XSS) - Stored executor High 2021-11-05
Просмотр удаленного сообщения из лс группы + возможность его переслать. Information Disclosure executor Medium 2021-11-05
Обход фильтра на ссылки в загрузке историй.. None supplied executor Low 2021-11-05
Просмотр новых фотографии со стены частной/закрытой группы или закрытого профиля. Information Disclosure executor Medium 2021-11-05
Stored XSS в m.vk.com/video Cross-site Scripting (XSS) - Stored executor High 2021-11-05
Делаем плейлист от любого(почти) пользователя/группы/артиста. None supplied executor Low 2021-11-05
Reflected xss в m.vk.com/chatjoin Cross-site Scripting (XSS) - Reflected executor Medium 2021-11-05
Загружаем видеозаписи в основной альбом любой открытой группе/паблику. None supplied executor High 2021-11-05
Open redirect в карусели сообщения бота Open Redirect manaenckov Low 2021-06-24
[VK Android] Access to app protected components leads to arbitrary code execution None supplied bagipro No rating 2021-05-27
CSRF на установку своей почты к аккаунту. Cross-Site Request Forgery (CSRF) executor Critical 2021-05-23
XSS Reflected in m.vk.com Cross-site Scripting (XSS) - Reflected davscol94 No rating 2020-11-10
Отправка произвольных запросов к API с правами любого установленного у пользователя iframe/miniapp Cross-Site Request Forgery (CSRF) libneko Medium 2020-11-07
Отправка подарков/стикерпаков не теряя голоса. None supplied bussy Medium 2020-03-28
Clickjacking vkpay UI Redressing (Clickjacking) 0x3c3e Medium 2019-12-30
Мини-уязвимость в обработке ссылок None supplied qwe Low 2019-12-10
CVE-2018-0296 None supplied linkks High 2019-06-18
Получение БД кэша из Android-приложения через стороннее приложение Information Exposure Through Debug Information ilyamodder Low 2019-06-11
Bypass User Interaction to initiate a VoIP call to Another User Privilege Escalation heeeeen Low 2018-11-12
[Клевер/Android] Небезопасный BroadcastReceiver позволяет создавать окно диалога в приложении посредством другого неавторизованного приложения Improper Access Control - Generic norver Low 2018-10-26
Получение вечного доступа к Long Pool и авторизованой страницы сайта, если мы когда-либо были на аккаунте жертвы Improper Authentication - Generic povargek No rating 2018-10-07
Stealing Private Information in VK Android App through PlayerProxy Port Remotely Information Disclosure heeeeen Critical 2018-09-02
Доступ к администраторским faq Information Disclosure executor High 2018-09-02
XSS-уязвимость, связанная с загрузкой файлов Cross-site Scripting (XSS) - Stored dvudvudvu Critical 2018-08-02
Просмотр записей пользователя, который тебя заблокировал None supplied darkprism No rating 2018-08-02
Просмотр приложений любого пользователя / группы Information Disclosure trainzment Medium 2018-07-28
Общий CSRF токен для сообщений сообществ, или как подставить соседа-редактора Business Logic Errors povargek Medium 2018-07-06
Просмотр приватных видео записей у Пользователей Information Disclosure pisarenko Low 2018-07-06
Получение чужого номера телефона (все цифры) через форму восстановления пароля Privacy Violation namthar High 2018-06-30
Уязвимость дает возможность видеть записи , которые предлагаются пабликам + еще Cross-Site Request Forgery (CSRF) pisarenko Low 2018-06-30
Open Redirection Vulnerability in m.vk.com Open Redirect shad0walk3rtn Low 2018-06-29
Уязвимость дает возможность смотреть кто лайкал приватным фото или видео Cross-Site Request Forgery (CSRF) pisarenko Low 2018-06-24
Просмотр любых записей на стене Information Disclosure trainzment High 2018-06-18
[Привязка email к странице] by [email protected] | email-flood None supplied morto-dillinger None 2018-06-17
Получение предложенных фотографий паблику Information Disclosure pisarenko Medium 2018-05-30
Часть админки доступна для всех пользователей Information Disclosure trainzment Low 2018-05-22
Reflected XSS в /al_audio.php Cross-site Scripting (XSS) - Reflected executor High 2018-05-22
Раскрытие информации о частной группе или приложении Information Disclosure trainzment Medium 2018-05-12
Определение id по номеру телефона Information Disclosure arhimason Medium 2018-05-06
Смотрим фотографии из частных/закрытых групп. Information Disclosure executor High 2018-04-26
ПРОСМОТР ЛЮБЫХ ПРИВАТНЫХ ФОТО + ПРЕВЬЮ ЛЮБОГО ПРИВАТНОГО ВИДЕО. None supplied rogov Critical 2018-04-26
CSRF на "ловлю гостей" и раскрытие аудиотрансляции в частной группе Cross-Site Request Forgery (CSRF) povargek Medium 2018-04-26
Просмотр части номера телефона и отправка на него SMS, всего раз скомпроментировав аккаунт Business Logic Errors povargek Medium 2018-04-06
Просмотр любого видео из частной группы и кто загрузил Information Disclosure trainzment Medium 2018-04-02
clickjacking в /lead_forms_app.php None supplied executor Medium 2018-04-02
Blind XXE on pu.vk.com XML External Entities (XXE) barracuda_ Medium 2018-03-04
Недочет в поиске по хештегам Cryptographic Issues - Generic pisarenko None 2018-03-04
Отсутствие flood контроля в ИСТОРИЯХ вк Heap Overflow pisarenko Low 2018-03-04
новенькое (старенькое upgreid) хакерство: делаем демократию во всем в контакте (XSS - на англиском) Cross-site Scripting (XSS) - Stored yango Critical 2018-03-04
CSRF отредактировать карточки в посте у группы Cross-Site Request Forgery (CSRF) lincoln9932 None 2018-03-04
XSS в колбек апи в сообществах Cross-site Scripting (XSS) - DOM pisarenko No rating 2018-02-24
error Information Disclosure linkks No rating 2018-02-24
Backup Source Code Detected Information Disclosure linkks Critical 2018-02-24
Просмотр аватара и название частной группы None supplied pisarenko Low 2018-02-24
Opcode Cache Information Disclosure linkks High 2018-02-22
Просмотр привязного к странице email, всего лишь раз скомпрометировав письмо-уведомление Privacy Violation povargek No rating 2018-02-20
Монипулирование на страницах пользоватлей значением "Подсказывать стикеры в полях ввода" CRLF Injection pisarenko Low 2018-02-09
CSRF создание опроса от имени пользователя, зная id приложения. + небольшой флуд сообщениями на стену None supplied lincoln9932 No rating 2018-02-09
Изменение текстов вариантов ответа в опросах None supplied umfc No rating 2018-01-30
Просмотр Участников ЧАСТНОЙ встречи Information Disclosure pisarenko Medium 2017-12-31
self-xss ads_easy_promote vk.com None supplied lincoln9932 No rating 2017-12-31
XSS работающая по всему сайту, где есть упоминания Cross-site Scripting (XSS) - Generic flyink Medium 2017-12-31
Воскрешение сессии после сброса сессий / смены пароля / принудительной смены пароля Improper Authentication - Generic povargek No rating 2017-12-31
Хранимая XSS в функционале добавления аудио в WYSIWYG Cross-site Scripting (XSS) - Stored abr1k0s High 2017-12-31
Узнаем название и аватарку частной группы, по ID приложения. None supplied sql Low 2017-12-31
Хранимая XSS на странице "Виджет для авторизации" Cross-site Scripting (XSS) - Stored abr1k0s High 2017-12-31
Stored xss в /lead_forms_app.php Cross-site Scripting (XSS) - Stored executor High 2017-11-28
XSS в личных сообщениях Cross-site Scripting (XSS) - Stored vladvis High 2017-11-27
XSS в товарах None supplied lincoln9932 High 2017-10-29
Хранимая XSS в группе VK Cross-site Scripting (XSS) - Stored sql High 2017-10-28
CSRF Добавить просмотр к записи без ведома пользователя. None supplied lincoln9932 No rating 2017-10-25
XSS в приглашении в группу Cross-site Scripting (XSS) - Reflected rooteval High 2017-10-25
XSS в названии сервера Cross-site Scripting (XSS) - DOM pisarenko High 2017-09-20
Раскрытие имени файла приватных документов Privacy Violation zhumarin Medium 2017-09-20
XSS в комментариях от имени сообщества Cross-site Scripting (XSS) - DOM flyink High 2017-09-20
Создание ссылки от имени чужой страницы vk.cc Cross-Site Request Forgery (CSRF) pisarenko Medium 2017-09-20
CSRF Проверить является ли пользователь админом группы. Cross-Site Request Forgery (CSRF) lincoln9932 No rating 2017-09-14
api.vk.com отдаёт в ответ HTML авторизированную страницу vk.com Business Logic Errors zhumarin Medium 2017-08-30
Узнать название частной группы и ее аватарку по видеоролику. None supplied lincoln9932 Low 2017-07-25
Новый 2FA Bypass Improper Authentication - Generic povargek No rating 2017-07-23
Нет маркера на добавление песни в плейлист пользователя CRLF Injection pisarenko Low 2017-07-23
CSRF на сброс ключа трансляции. Cross-Site Request Forgery (CSRF) lincoln9932 Low 2017-07-09
Посмотреть видеоролики, которые пользователь когда-либо скидывал в ЛС. Privilege Escalation lincoln9932 Medium 2017-07-09
local file disclosure via FFmpeg hls processing Information Disclosure neex No rating 2017-06-24
Написать от имени любого пользователя на его стене, если он перейдет по ссылке. https://vk.com/al_video.php Privilege Escalation lincoln9932 Medium 2017-06-18
Подмена SSL-сертификата для любой группы в секции Управление группой->Работа с API неавторизированным пользователем. Insecure Direct Object Reference (IDOR) test_universe Low 2017-06-07
CSRF в получении резервных токенов+framing , приводящие к компроментации 2fa Cross-Site Request Forgery (CSRF) abr1k0s No rating 2017-05-31
Возможность взлома любого пользователя, не использующего двухфакторной аутентификации, через получения кода восстановления на чужой номер. Privilege Escalation norver Critical 2017-05-20
Второй способ обхода 2FA Improper Authentication - Generic povargek No rating 2017-05-09
SSRF через Share-ботов Server-Side Request Forgery (SSRF) f4lrik No rating 2017-04-22
Обход: "Аудиозапись недоступна для прослушивания в Вашем регионе." Privilege Escalation shady-r No rating 2017-04-22
Missing Server Side Rate Limiting can Lead to VK Account Take over Violation of Secure Design Principles mangotango No rating 2017-04-19
Обход 2ух-шаговой авторизации / 2FA Bypass Improper Authentication - Generic povargek No rating 2017-04-12
Возможность смотреть видео рекомендации любого пользователя вконтакте None supplied ryaz23 No rating 2017-03-29
Возможность провести DoS атаку от имени vk.com сервера None supplied denispugachev No rating 2017-03-06
Able to intercept app Traffic after choosing up the Secured Connection using SSL (HTTPS) Information Disclosure bugwrangler No rating 2017-03-03
API: Bug in method auth.signup , дающий возможность бесконечно звонить Violation of Secure Design Principles pisarenko No rating 2017-02-13
Добавление в меню сообщества без ведома пользователя (нажатия пользователем) Cross-Site Request Forgery (CSRF) pisarenko No rating 2017-02-13
Уязвимость получения всех номеров телефонов вк (по совместительству логинов профилей) Code Injection pisarenko No rating 2017-02-13
HTML Injection possible due to bad filter Cross-site Scripting (XSS) - Generic ghjfgjggfdfhfgsdfssdf Low 2017-02-10
Способ узнать имя человека удаленной страницы Information Disclosure pisarenko None 2017-02-09
SSRF (open) - via GET request Server-Side Request Forgery (SSRF) firex No rating 2017-02-09
XSS в upload.php Cross-site Scripting (XSS) - Generic irek No rating 2017-02-09
Уязвимость приватных записей пользователя (личных) Information Disclosure pisarenko Low 2017-02-09
Уязвимость Создание фотографий без ведома пользователей Cross-Site Request Forgery (CSRF) pisarenko No rating 2017-02-09
Способ узнать имя человека удаленной страницы 2 Information Disclosure pisarenko None 2017-02-09
Stored XSS в личных сообщениях Cross-site Scripting (XSS) - Generic n1__ Medium 2017-01-10
vk.com/login.php SQL Injection nte No rating 2016-12-29
Паблики: Модератор паблика может удалять добавленные редакторами материалы с таймером на публикацию. Privilege Escalation povargek No rating 2016-12-04
Дорк Information Disclosure linkks No rating 2016-11-18
Способ узнать имя человека и ВУЗ удаленной страницы Privilege Escalation grande No rating 2016-10-17
Issue in the implementation of captcha and race condition Violation of Secure Design Principles infosechelper No rating 2016-09-29
DOM XSS в /activation.php?act=activate_mobile Cross-site Scripting (XSS) - Generic abr1k0s No rating 2016-09-22
Checking whether user liked the media or not even when you are blocked Information Disclosure vraj No rating 2016-05-25
Отвязываем Twitter от любого профиля вк ! + несколько багов по дизайну Cross-Site Request Forgery (CSRF) pisarenko No rating 2016-04-04
Внедрение внешних сущностей в функционале импорта пользователей YouTrack Command Injection - Generic bo0om No rating 2016-03-18
XSS at http://vk.com on IE using flash files Cross-site Scripting (XSS) - Generic tunnelshade No rating 2015-10-30
Внедрение произвольного javascript-сценария в функционале просмотра изображений мобильной версии сайта Cross-site Scripting (XSS) - Generic bo0om No rating 2015-10-30
Не достаточная проверка логина скайп Command Injection - Generic abr1k0s No rating 2015-10-30
Уязвимость в Указание мест на фото + фича + хакинг Code Injection pisarenko No rating 2015-09-07
API: Bug in method auth.validatePhone None supplied vladislav805 No rating 2015-07-18
XSS on added name album on videos. Cross-site Scripting (XSS) - Generic ruisilva No rating 2015-06-26