漏洞编号:QTVA-2015-154334
漏洞说明:CmsEasy订单支付漏洞,购物车未处理验证商品数量,导致用户可以刷钱~
漏洞原因:未验证购买商品数量
漏洞后果:0元购物、刷钱
-----
最近闲来无事挖挖洞,发现一枚CMSEASY的订单支付漏洞,但审核被拒了。
从漏洞编号来看,这是2015年提交的漏洞,但是5年前的漏洞,至今还存在。
----
抄录我所提交至补天的详情
漏洞地址:http://localhost:83/index.php?case=archive&act=orders (购物车)
漏洞原因:未验证商品购买数量
漏洞后果:商品0元购、平台账户刷钱
支付之后的订单:
后台:
财务:
