关键漏洞信息 概述 CVE ID: CVE-2025-12919 产品: EverShop E-Commerce Platform 漏洞类型: 不安全的直接对象引用 (IDOR) 严重程度: 高 CVSS v3.1 分数: 7.5 CWE: CWE-639 (通过用户控制的密钥绕过授权) 披露日期: 2025-10-23 UTC 执行摘要 在EverShop的GraphQL API中发现了一个关键的授权漏洞,允许任何未授权用户访问完整的订单信息,包括PII、地址、支付状态和购买历史。 漏洞详情 描述: GraphQL查询解析器接受订单UUID作为输入,未经验证即返回完整的订单详情。 受影晌组件: - 文件: (行7-14) 攻击向量 先决条件 用户交互: 无 攻击步骤 1. 获取订单UUID: - 邮件确认链接 - 预测订单编号 - 错误消息信息披露 - 社会工程 - 暴力破解 2. 查询订单信息: 使用GraphQL查询(需补全实际请求示例) 3. 接收敏感数据: 获取客户姓名、邮件、地址和购买详情等。 缓解措施 立即行动 (优先级: 关键) 1. 应用紧急补丁: 在订单查询解析器中引入认证和授权检查。 2. 替代方案: 实施基于令牌的访问机制,用于访客场景,即创建安全令牌并在订单创建和查询时使用。 代码样例展示了如何在解析器中加入对用户的认证和订单所有权验证,以及如何生成和使用访问令牌。