EverShop 易受未经授权订单信息访问（IDOR）攻击

漏洞详情

包管理器: npm

受影响包: @evershop/evershop

受影响版本: <= 2.1.0

已修复版本: 无

漏洞描述

在 EverShop 2.0.1 及之前版本中发现了一个安全漏洞。该漏洞影响 Order Handler 组件中/src/modules/oms/graphql/types/Order/Order.resolvers.js文件的未知函数。攻击者通过操纵 uuid 参数可以实现对资源标识符的不当控制。

此攻击具有以下特征：

• 可远程执行攻击

• 攻击复杂度高

• 利用难度较大

• 漏洞利用方法已公开

• 供应商早期收到披露通知但未作任何回应

技术细节

CVSS 评分

• 总体评分: 2.9/10（低危）

• CVSS v4 基础指标:

• 攻击向量：网络

• 攻击复杂度：高

• 攻击要求：无

• 所需权限：无

• 用户交互：无

• 受影响系统机密性：低

• 受影响系统完整性：无

• 受影响系统可用性：无

弱点分类

• CWE-99: 资源标识符的不当控制（资源注入）

• 产品从上游组件接收输入，但在将其用作可能超出预期控制范围的资源标识符之前，未能限制或错误地限制了该输入。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-12919

• https://vuldb.com/?ctiid.331639

• https://vuldb.com/?id.331639

时间线

• 国家漏洞数据库发布: 2025 年 11 月 9 日

• GitHub 咨询数据库发布: 2025 年 11 月 9 日

• 最后更新: 2025 年 11 月 13 日

• 审核时间: 2025 年 11 月 13 日

EPSS 评分

• 利用概率: 0.033%（第 9 百分位）

• 此分数估计了该漏洞在接下来 30 天内被利用的概率更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享