当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0102816

漏洞标题:魅族在线商店某接口平行权限

相关厂商:魅族科技

漏洞作者: 路人甲

提交时间:2015-03-23 11:02

修复时间:2015-05-07 11:12

公开时间:2015-05-07 11:12

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:7

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-23: 细节已通知厂商并且等待厂商处理中
2015-03-23: 厂商已经确认,细节仅向厂商公开
2015-04-02: 细节向核心白帽子及相关领域专家公开
2015-04-12: 细节向普通白帽子公开
2015-04-22: 细节向实习白帽子公开
2015-05-07: 细节向公众公开

简要描述:

...

详细说明:

删除收货人信息接口平行权限。
post id=ID 到http://store.meizu.com/customer_address/remove_submit 就可以删除该ID的收货人信息。
ID是添加收获人后对每一条地址的编号,依次编号的,现在共有3130642个地址信息(包含已删除的)[也就是基本可以判定魅族在线商店卖出了不超过300W台机器,毕竟不是每个添加了的收获人就会购买,当然也存在一个收获人下多个单的可能]
要查看当前账户的收货人ID,需要在登录状态下在商店下单任意商品,在“填写核对订单信息”会列出当前账户的所有收货人信息,F12就可以看到了,如下图,收货人ID就是3130642

mz2.png


接着在隐身模式下post id到store.meizu.com/customer_address/remove_submit 就可以在未登录状态下删除该id的收货人信息。遍历ID就可以删除所有收货人信息了

漏洞证明:

截图也没法说明。自己测试就能发现

修复方案:

判断调用此接口请求的cookie中MEIZUSESSIONID值所对应的用户是否与提交的收货人ID所属账户相同。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-03-23 11:11

厂商回复:

谢谢您的反馈,正在联系开发人员进行整改,感谢您对魅族安全的关注~

最新状态:

暂无