漏洞概述 漏洞名称: Business Logic Vulnerability 修复日期: 2025年1月12日 CVSS评分: 3.9 影响组件: Client Management - Client Balance 影响范围 描述: 在HostBill的客户管理功能中存在一个业务逻辑漏洞,允许管理员将负余额分配给客户账户。此操作将客户永久置于逾期状态,并阻止正常的余额更新,从而冻结客户的实际余额。 具体影响: 由于缺少对余额调整的验证,系统接受无限制的负信用值。一旦应用负余额,后续购买将被自动标记为逾期,无论支付状态如何,客户的实际余额不再正确更新。这种行为可能导致服务中断、计费不一致以及对受影响客户的服务意外拒绝。 修复方案 步骤: 1. 登录到HostBill管理面板。 2. 导航至“管理客户”部分。 3. 选择任何现有客户。 4. 进入“客户余额”部分。 5. 选择“向客户添加信用”。 6. 输入负值(例如,-100)作为信用金额。 7. 提交更改。 8. 观察到客户余额变为负数。 9. 尝试让客户进行购买。 10. 观察到所有购买都被标记为逾期,客户的实际余额保持冻结。 POC代码