CVE-2025-13474CVE-2025-13474是Menulux Software Inc.开发的移动应用程序中的一个高危安全漏洞,CVSS评分达到7.5分。该漏洞属于授权绕过类型(Authorization Bypass Through User-Controlled Key),允许攻击者通过操控受信任的标识符来绕过应用程序的授权机制。在移动应用开发中,授权验证是保护用户数据和功能的关键安全屏障。然而,该应用在处理用户身份验证和会话管理时,存在基于用户控制的密钥进行授权决策的缺陷。攻击者可以利用这一漏洞,在无需正确认证的情况下,访问本应受到保护的功能或数据。具体而言,应用在验证用户权限时,过度依赖客户端提供的标识符而非服务端验证的会话令牌,攻击者只需修改请求中的用户标识符(如用户ID、令牌或其他身份凭证),即可冒充其他合法用户或获取未授权访问权限。该漏洞影响移动应用9.5.8之前的版本,USOM(土耳其国家网络安全事件响应中心)于2025年12月16日披露了此漏洞。由于该漏洞无需认证即可利用,且可导致高机密性影响(未经授权访问敏感数据),对使用该应用的企业和个人用户构成严重安全威胁。
该漏洞的根本原因在于Menulux移动应用在授权检查过程中,过度依赖客户端可控的标识符进行权限验证。攻击者可以通过拦截应用的网络请求,修改其中包含的用户标识符(如user_id、session_token等),实现对其他用户账户的未授权访问。具体攻击流程如下:首先,攻击者需要安装并正常使用Menulux移动应用,注册一个合法账户并登录应用正常功能模块。在正常使用过程中,使用代理工具(如Burp Suite或mitmproxy)拦截应用与服务端的通信请求。然后,分析请求中的认证参数,通常可以找到包含用户标识符的字段。通过修改该标识符为其他用户的ID(如将当前用户ID从1001改为1002),并重新发送修改后的请求。如果服务端未正确验证该请求来自正确的用户会话,攻击者即可获取目标用户的数据或执行未授权操作。这种基于用户控制密钥的授权绕过漏洞常见于以下场景:应用使用GET参数或POST body中的用户ID来查询数据;应用依赖客户端传递的令牌而非服务端会话验证;应用在API调用中直接使用可预测的用户标识符。成功利用此漏洞可导致机密性破坏,攻击者可获取其他用户的敏感信息,包括个人资料、订单历史、支付信息等。