Recientemente, encontré un error en una aplicación web de comercio electrónico y lo informaré.
El error que encontré puede:
eliminar y editar la lista de productos favoritos para todos los usuarios
eliminar todas las notificaciones para todos los usuarios
¿Qué gravedad y prioridad de esta vulnerabilidad puedo informar?
En realidad diría que suena solo moderadamente grave , porque el daño directo que se puede hacer es bastante menor. Un atacante puede violar un grado de confidencialidad (divulgación de información), puede incomodar a la gente, puede engañar a la gente y definitivamente puede dañar la reputación de la compañía, pero no puede causar mucho daño directamente (por ejemplo, obligar a la gente a comprar cosas, acceder a información útil para robo de identidad, hacerse cargo de las cuentas de usuario u obtener acceso no autorizado al servidor).
Sin embargo, lo llamaría una prioridad bastante alta. Las referencias directas de objetos son relativamente fáciles de descubrir y, por lo general, también son fáciles de explotar (es decir, generalmente es solo un número entero que puede iterar), y la vulnerabilidad generalmente se puede escalar fácilmente para afectar a un gran número de personas (tienden a ser muy susceptibles a automatización y no requiere ninguna interacción por parte de nadie más). La facilidad de descubrimiento y explotación suele aumentar la prioridad, incluso cuando la gravedad es solo media.
Suena como una prioridad muy alta. Un atacante podría anunciar su producto poniéndolo en la lista de favoritos de otros usuarios, por ejemplo.
Como lo mencionó @xander, depende de la compañía si lo solucionarán o no, pero recomiendo enviar como una prioridad alta para que puedan estar al tanto.
Lea otras preguntas en las etiquetas web-application authentication vulnerability disclosure access-control