文章总结： 作者提交越权漏洞后厂商以影响轻微为由暂不处理，作者在此基础上继续挖掘发现账号混淆问题：主账号与子账号登录投简历功能显示相同信息。再次提交时审核认为原漏洞厂商已知故不计新漏洞。作者质疑厂商回复不明确导致误解，最后询问该账号混淆是否算漏洞。 综合评分： 52 文章分类： 漏洞分析,SRC活动,实战经验

希望厂商回复漏洞清楚点

原创

游山玩水 游山玩水

山水SRC

2026年3月18日 08:06 河南

概述

本文讲解了一个漏洞案例，最开交第一个漏洞的时候审核过了，厂商没过，厂商回复（感谢提交，该功能点问题已知，影响轻微，暂不做处理），之后我又在这个漏洞点基础上找到了信息混淆的漏洞（两个账号登录后是一个账号），这次卡在审核上了（好像意思是我交了第一个漏洞厂商内部已知，因此第二个洞就不算了（我不理解的点在于厂商给我交第一个洞回复为影响轻微，暂不做处理，让我觉得对方不认为这有危害不修呢，因此我才想按照这个基础上找第二个洞，哪怕厂商把暂不处理去处理我就不往下继续找了）

下面图片为我问审核

流程

第一次漏洞提交见文章：没什么危害的越权不收

第二次漏洞提交

1.添加子账号（企业审批简历功能）

2.分别登录主账号和子账号的投递简历功能（用户名相同，简历相同，投简历也相同，都是主账号的，只有当将子账号删除，子账号再次登录才是自己填写的简历信息）

总结

我想问一下各位师傅我第二次找到的漏洞点算漏洞吗（A添加B为子账号，A和B登录投简历功能点是一个号）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：山水SRC 游山玩水 游山玩水《希望厂商回复漏洞清楚点》