PT-2025-35637 · Unknown · Macrozheng Mall
Ez-Lbz
·
Publicado
2025-09-02
·
Atualizado
2025-09-03
·
CVE-2025-9836
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
macrozheng mall versões até 1.0.3
Descrição
Existe uma vulnerabilidade na função
paySuccess do arquivo /order/paySuccess. A manipulação do argumento orderId pode levar a um bypass de autorização. O exploit foi divulgado publicamente.Recomendações
Atualize o macrozheng mall para uma versão superior a 1.0.3.
Como medida temporária (workaround), restrinja o acesso ao arquivo
/order/paySuccess.
Evite utilizar o parâmetro orderId na função paySuccess até que a questão seja resolvida.Exploit
Correção
Improper Authorization
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Macrozheng Mall