漏洞关键信息 1. 漏洞基本信息 软件名称: Dee_Store-Simple_Online_Shopping_Website 下载链接: GitHub代码仓库 受影响版本: main 漏洞类型: 缺少授权 (CWE-862) 漏洞描述及风险: 在Dee_Store-Simple_Online_Shopping_Website中,当用户尝试访问资源或执行某些操作时,未进行授权检查。这可能导致未经授权的攻击者进行敏感操作。 漏洞提交者: Qin Mai of VARAS@IIE 2. 漏洞复现 可以直接发送以下数据包,在不进行身份认证的情况下执行敏感操作。 2.1 admin/php/addEmpPHP.php 请求: 添加员工 响应: 成功创建新员工 2.2 admin/ordInvoice.php 请求: 获取订单发票 响应: 返回PDF格式的发票 2.3 admin/venInvoice.php 请求: 获取供应商发票 响应: 返回PDF格式的发票 2.4 admin/report.php 请求: 查看报告数据 响应: 返回HTML页面 2.5 admin/php/addVendorPHP.php 请求: 添加供应商 响应: 成功创建新供应商 2.6 admin/php/functions.php 请求: 执行数据库查询 响应: 查询成功并返回结果