PT-2025-53414 · Youlaitech · Youlai-Mall
Huangweigang
+1
·
Publicado
2025-12-25
·
Atualizado
2026-02-26
·
CVE-2025-15087
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
youlaitech youlai-mall versões 1.0.0 até 2.0.0
Descrição
Um problema de segurança foi identificado no youlaitech youlai-mall. A manipulação do argumento
orderSn dentro da função submitOrderPayment, localizada no arquivo mall-oms/oms-boot/src/main/java/com/youlai/mall/oms/controller/app/OrderController.java, pode levar a uma autorização inadequada. Este problema pode ser explorado remotamente. O exploit para este problema foi divulgado publicamente. A existência deste problema está atualmente sendo questionada, e o fornecedor não respondeu aos relatórios sobre isso.Recomendações
youlaitech youlai-mall versões 1.0.0 até 2.0.0: Corrija a autorização inadequada protegendo a função
submitOrderPayment e validando o argumento orderSn.Exploit
Correção
Improper Authorization
Incorrect Privilege Assignment
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Youlai-Mall