以下是关于漏洞的关键信息: 项目: CRMeb Mall System (CRMeb商城系统) - 厂商: CRMeb (https://www.crmeb.com/) - 项目仓库: https://github.com/crmeb/CRMeb.git 受影响文件: - - 受影响版本: v5.6.3 及更早版本 漏洞类型: CWE-639 (Insecure Direct Object Reference) CVSS v3.1 评分: 4.3 (Medium) 发现日期: 2025-01-12 漏洞描述: 积分订单详情接口存在不安全的直接对象引用(IDOR)漏洞,允许任何登录用户查看任意用户的积分订单详情,包括收货人姓名、手机号、收货地址等敏感隐私信息。 漏洞分析: 1. 受影响接口: GET /api/store_integral/order/detail/:uni 2. 根本原因: - 缺少 UID 验证 - 没有权限检查 - 服务层无验证 3. 正确实现: 同一文件中的 express 方法正确使用了权限验证 环境信息: - 测试目标: http://192.168.176.130:8011 - 测试数据库: MySQL 5.7 漏洞复现: 描述了复现漏洞的详细步骤,包括准备测试数据、攻击者登录和访问受害者的订单。 POC 代码: 提供了攻击者登录和访问受害者订单的代码步骤。 关键发现: - 攻击者成功访问了其他用户的订单隐私信息 影响评估: 列出了泄露的敏感信息和可能的隐私泄露、数据合规、用户信任和竞争分析等问题。 CVSS v3.1 评分: 详细说明了评分所使用的向量信息。 修复建议: 提供了立即修复和长期修复建议,包括添加 UID 验证、代码审查、单元测试和安全培训等。 时间线: - 2025-01-12: 漏洞发现、复现验证、报告编写 参考资料: 引用了一些安全相关的参考资料。