Shopify Cart Race Condition Vulnerability Allows Silent Discount Over-Redemption (CWE-362)

漏洞概述 漏洞名称: Race condition on Discount.usage_limit allows silent over-redemption 漏洞描述: 在创建购物车操作时， 方法在检查并增加折扣的 计数器之前，已经创建了订单行。这导致在并发结账压力下，全局 被静默超过，订单以折扣全额应用到 的方式提交，而计数器在 处阻塞。商家没有收到任何关于超额使用的信号。 另一个相关问题是 实际上是一个空操作，因为计数器依赖于 ，而该计数器在代码库中从未在任何地方递增。因此，每用户检查总是看到 0 次使用，验证通过，无论之前有多少次客户已经兑换了优惠券。对于 ，每用户限制根本无法触发，因为底层的 行仅存在于 。 直接财务损失：每次超额使用都是商家未打算授予的折扣。 影响范围 受影响版本: < 2.8.0 修复版本: 2.8.0 严重性: 5.9 / 10 CVSS v3 基础指标: - 攻击向量: 网络 - 攻击复杂度: 高 - 所需特权: 无 - 用户交互: 无 - 范围: 未改变 - 机密性: 无 - 完整性: 高 - 可用性: 无 修复方案 补丁 v2.8.0 修复: 现在： - 在创建订单行之前，使用 和 在 上原子性地保留折扣槽。 - 当全局限制在购物车验证和提交之间耗尽时，抛出 并回滚事务。没有订单被提交。 - 当折扣限制为每个客户一次使用且客户已经兑换时，抛出 并回滚。 - 将 , , , 和 快照到订单表中，以防止后续编辑或删除。 DiscountValidator 更新为在应用时执行相同的基于订单的每用户检查，以便在结账前表面化拒绝。 升级方式 工作区 无，升级到 v2.8.0。 CVE 分配说明 两种行为共享一个根本原因：订单创建事务中缺乏同步的折扣使用跟踪。 不存在，因为相同的计数器管理间隙阻止了 在任何代码路径中被递增。两种行为都通过 中的相同原子块（ ）进行补救，并且没有行为可以独立利用，除非在另一种商户影响场景中：每用户限制检查在正确维护的全局计数器之前是无意义的，并且全局计数器不能在没有相同锁定门控每用户检查的情况下安全递增。 因此，我们请求为组合折扣超额使用问题分配单个 CVE，使用 CWE-362（竞态条件）。 参考 Issue #510 Pull request #511 CWE-362 Concurrent Execution using Shared Resource with Improper Synchronization

Goal Reached Thanks to every supporter — we hit 100%!

Shopify Cart Race Condition Vulnerability Allows Silent Discount Over-Redemption (CWE-362)

More from this source