PT-2025-45419 · Unknown · Newbee-Mall-Plus
Huangweigang
·
Publicado
2025-11-07
·
Atualizado
2025-11-07
·
CVE-2025-12854
CVSS v3.1
3.7
Baixa
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do newbee-mall-plus até a 2.4.1
Descrição
Existe uma falha no newbee-mall-plus na qual a manipulação do argumento
userid dentro da função executeSeckill, localizada no arquivo /seckillExecution/, pode resultar em bypass de autorização. Esta falha pode ser explorada remotamente e é considerada de alta complexidade, embora a exploração seja descrita como difícil. O exploit está disponível publicamente.Recomendações
Versões anteriores à 2.4.1 devem ser atualizadas.
Exploit
Correção
Improper Authorization
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Newbee-Mall-Plus