PT-2025-35616 · Unknown · Macrozheng Mall
Ez-Lbz
·
Publicado
2025-09-02
·
Atualizado
2025-09-03
·
CVE-2025-9835
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
macrozheng mall versões até a 1.0.3
Descrição
Existe uma vulnerabilidade nas versões do macrozheng mall até a 1.0.3. A função
cancelOrder dentro do arquivo /order/cancelUserOrder é afetada. A manipulação do argumento orderId pode levar a um contorno de autorização. O exploit foi divulgado publicamente e pode ser utilizado.Recomendações
Atualize o macrozheng mall para uma versão superior à 1.0.3.
Como solução temporária, restrinja o acesso ao arquivo
/order/cancelUserOrder.
Evite utilizar o argumento orderId na função cancelOrder até que o problema seja resolvido.Exploit
Correção
Incorrect Authorization
IDOR
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Macrozheng Mall