PT-2025-37443 · Unknown · Newbee-Mall
Ez-Lbz
·
Publicado
2025-09-15
·
Atualizado
2025-10-14
·
CVE-2025-10422
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do newbee-mall anteriores a 613a662adf1da7623ec34459bc83e3c1b12d8ce7
Descrição
Existe uma vulnerabilidade no newbee-mall relacionada à autorização inadequada. O problema afeta a função
paySuccess dentro do arquivo /paySuccess do componente Order Status Handler. A manipulação do argumento orderNo pode levar a acesso não autorizado. O exploit foi divulgado publicamente.Recomendações
Atualize o newbee-mall para uma versão anterior a 613a662adf1da7623ec34459bc83e3c1b12d8ce7.
Como solução temporária, considere restringir o acesso ao arquivo
/paySuccess ou à função paySuccess até que um patch esteja disponível.Exploit
Correção
Improper Authorization
Incorrect Privilege Assignment
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Newbee-Mall