EverShop易受未经授权订单信息访问(IDOR)攻击
漏洞详情
包管理器: npm
受影响包: @evershop/evershop
受影响版本: <= 2.1.0
已修复版本: 无
漏洞描述
在EverShop 2.0.1及之前版本中发现了一个安全漏洞。该漏洞影响Order Handler组件中/src/modules/oms/graphql/types/Order/Order.resolvers.js文件的未知函数。攻击者通过操纵uuid参数可以实现对资源标识符的不当控制。
此攻击具有以下特征:
- 可远程执行攻击
- 攻击复杂度高
- 利用难度较大
- 漏洞利用方法已公开
- 供应商早期收到披露通知但未作任何回应
技术细节
CVSS评分
- 总体评分: 2.9/10(低危)
- CVSS v4基础指标:
- 攻击向量:网络
- 攻击复杂度:高
- 攻击要求:无
- 所需权限:无
- 用户交互:无
- 受影响系统机密性:低
- 受影响系统完整性:无
- 受影响系统可用性:无
弱点分类
- CWE-99: 资源标识符的不当控制(资源注入)
- 产品从上游组件接收输入,但在将其用作可能超出预期控制范围的资源标识符之前,未能限制或错误地限制了该输入。
参考链接
时间线
- 国家漏洞数据库发布: 2025年11月9日
- GitHub咨询数据库发布: 2025年11月9日
- 最后更新: 2025年11月13日
- 审核时间: 2025年11月13日
EPSS评分
- 利用概率: 0.033%(第9百分位)
- 此分数估计了该漏洞在接下来30天内被利用的概率
