关键信息 漏洞详情 CVE ID: CVE-2025-50849 产品: CS-Cart 受影响版本: 4.18.3 漏洞类型: 不安全的直接对象引用 (IDOR) 攻击向量: 远程 影响: 权限提升 / 未经授权的操作 报告者: Abdul Wahab, DTS Solutions 状态: 预留 摘要 CS-Cart 4.18.3 在供应商贴纸管理功能中存在不安全的直接对象引用 (IDOR) 漏洞。启用或禁用贴纸的端点接受 参数,但未验证用户是否有权对指定公司执行操作。 受影响组件 影响 任何经过身份验证的供应商或低权限用户可以更改其他供应商的贴纸状态。 导致未经授权的操作,影响其他供应商的设置或品牌。 可以与枚举或业务逻辑缺陷结合使用,造成更大的影响。 概念验证 (PoC) 技术 PoC 为防止利用而保留。将在以下情况下提供: 应要求 在供应商发布修复程序后 缓解措施 在敏感端点上实施适当的访问控制。 在处理任何更改之前,在服务器端验证 的所有权。 不依赖客户端过滤进行授权决策。 参考资料 CVE 记录: CVE-2025-50849 厂商: https://www.cs-cart.com