从网页截图中可以获取到以下关于漏洞的关键信息: 1. 漏洞影响 受影响版本: mall-swarm <= 1.0.3 项目链接: mall-swarm 2. 漏洞位置 API路径: POST /order/paySuccess 3. 代码分析 在后续的实现代码中,系统直接使用 参数查询订单,但没有验证该订单是否属于当前登录用户。 4. 漏洞重现 1. 攻击者发送POST请求 到 ,使用属于其他用户的 。 2. 应用处理请求 时未进行适当的身份验证检查,允许攻击者完成目标订单的支付。 5. 影响描述 此漏洞允许攻击者操纵支付请求中的 参数,导致未经授权的支付和访问控制破坏。攻击者可以利用该漏洞为不属于自己的订单付款,导致财务损失和用户信任受损。