关键漏洞信息 Executive Summary 安全评估发现四个严重和高危漏洞,源于输入验证、会话管理和访问控制实施的系统性缺陷。 Disclosure Timeline Update 2025年12月16日:初次通过邮件和GitHub问题联系。 2025年12月23日:披露期限已过,未收到维护者的回应。 2025年12月26日:根据标准负责任披露准则进行完整披露,以警告社区。 Vulnerability 3: Broken Access Control (Unauthorized Account Creation) 严重性:CRITICAL (9.8) CVSS向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 漏洞类型:CWE-306: 关键功能的认证缺失 描述 后端脚本完全缺乏对新用户和卖家账户创建的认证或授权检查。 这些文件直接通过HTTP请求访问。 漏洞文件 Admin/assets/backend/seller/add_seller.php Admin/assets/backend/user/add_user.php 漏洞代码分析 未调用session_start()来恢复会话。 未检查$_SESSION['ADMIN_ID']是否设置。 直接插入数据库。 漏洞利用概念证明(PoC) 攻击者直接向后端文件发送POST请求创建seller账户,状态为"Active"(1)。 影响 授权绕过:攻击者可在公共注册禁用时创建账户。 权限升级:创建“Seller”账户可访问卖家仪表板。 垃圾/欺诈:用虚假账户淹没数据库。 缓解建议 在每个后端PHP文件中验证用户的会话状态。