EverShop面临未经授权订单信息访问（IDOR）攻击风险

漏洞概述

在EverShop 2.0.1及其之前的版本中发现了一处安全漏洞。此漏洞涉及Order Handler组件中的某个未指定函数。

攻击者可以通过操控uuid参数来不当控制资源标识符。这种攻击方式的特点包括：

• 可以远程实施攻击
• 攻击复杂度较高
• 利用难度大
• 漏洞利用方法已经公开
• 供应商在早期接到披露通知但未作出任何响应

技术细节

根据CVSS评分标准，该漏洞的总体评分为2.9/10，属于低危级别。具体评分指标如下：

• 攻击向量：网络
• 攻击复杂度：高
• 攻击要求：无
• 所需权限：无
• 用户交互：无
• 受影响系统机密性：低
• 受影响系统完整性：无
• 受影响系统可用性：无

此漏洞被归类为CWE-99：资源标识符的不当控制（资源注入）。具体来说，产品在接受来自上游组件的输入时，未能在使用这些输入作为资源标识符前对其进行适当的限制或过滤，导致这些输入可能超出预期的控制范围。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-12919
• https://vuldb.com/?ctiid.331639
• https://vuldb.com/?id.331639

时间线

• 国家漏洞数据库发布日期：2025年11月9日
• GitHub咨询数据库发布日期：2025年11月9日
• 最后更新日期：2025年11月13日
• 审核日期：2025年11月13日

EPSS评分

该漏洞在未来30天内被利用的概率估计为0.033%，位于第9百分位。

更多信息

对网络安全和黑客技术感兴趣的朋友们，欢迎关注我的安全公众号（网络安全技术点滴分享），获取更多相关内容。