Description
A vulnerability has been found in macrozheng mall up to 1.0.3. This affects the function cancelOrder of the file /order/cancelUserOrder. The manipulation of the argument orderId leads to authorization bypass. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used.
In macrozheng mall bis 1.0.3 wurde eine Schwachstelle gefunden. Es betrifft die Funktion cancelOrder der Datei /order/cancelUserOrder. Dank der Manipulation des Arguments orderId mit unbekannten Daten kann eine authorization bypass-Schwachstelle ausgenutzt werden. Der Angriff kann remote ausgeführt werden. Die Schwachstelle wurde öffentlich offengelegt und könnte ausgenutzt werden.
Problem types
Product status
1.0.1
1.0.2
1.0.3
Timeline
| 2025-09-02: | Advisory disclosed |
| 2025-09-02: | VulDB entry created |
| 2025-09-02: | VulDB entry last update |
Credits
ez-lbz (VulDB User)
References
vuldb.com/?id.322182 (VDB-322182 | macrozheng mall cancelUserOrder cancelOrder authorization)
vuldb.com/?ctiid.322182 (VDB-322182 | CTI Indicators (IOB, IOC, IOA))
vuldb.com/?submit.641729 (Submit #641729 | macrozheng mall ≤ v1.0.3 IDOR)
github.com/ez-lbz/poc/issues/46
github.com/ez-lbz/poc/issues/46
