CRITICAL🇬🇧 English

CVE-2026-25858

Macrozheng Mall – nieuwierzytelnione przejęcie konta przez ujawnienie OTP

CVSS 9.3v4.0pub. 2026-02-07upd. 2026-04-07

Podatność w module resetowania haseł aplikacji Macrozheng Mall (wersja 1.0.3 i wcześniejsze) pozwala nieuwierzytelnionemu atakującemu na zresetowanie hasła dowolnego użytkownika, znając jedynie jego numer telefonu. Błąd umożliwia pełne przejęcie konta bez jakiejkolwiek weryfikacji tożsamości.

Pokaż oryginał (EN)

macrozheng mall version 1.0.3 and prior contains an authentication vulnerability in the mall-portal password reset workflow that allows an unauthenticated attacker to reset arbitrary user account passwords using only a victim’s telephone number. The password reset flow exposes the one-time password (OTP) directly in the API response and validates password reset requests solely by comparing the provided OTP to a value stored by telephone number, without verifying user identity or ownership of the telephone number. This enables remote account takeover of any user with a known or guessable telephone number.

🤖 Analiza AI
Jak działa

Przepływ resetowania hasła w komponencie mall-portal zwraca jednorazowy kod OTP bezpośrednio w odpowiedzi API, ujawniając go atakującemu. Weryfikacja żądania resetowania hasła opiera się wyłącznie na porównaniu dostarczonego kodu OTP z wartością przechowywaną po stronie serwera powiązaną z numerem telefonu. Aplikacja nie weryfikuje tożsamości wnioskodawcy ani faktycznej własności podanego numeru telefonu. Atakujący może więc zainicjować reset hasła dla ofiary, odczytać OTP z odpowiedzi API i ustawić nowe hasło dla dowolnego konta.

Skutki

Atakujący zdalnie przejmuje pełną kontrolę nad dowolnym kontem użytkownika, dla którego zna lub jest w stanie odgadnąć numer telefonu. Skutkuje to nieautoryzowanym dostępem do konta oraz utratą poufności i integralności danych konta ofiary.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Tymczasowo zaleca się wyłączenie funkcji resetowania hasła przez numer telefonu lub wdrożenie po stronie serwera mechanizmu weryfikacji własności numeru telefonu (np. wysyłka OTP wyłącznie kanałem SMS bez umieszczania go w odpowiedzi API) oraz wprowadzenie walidacji tożsamości użytkownika w procesie resetowania hasła.

Kogo dotyczy

Macrozheng Mall w wersji 1.0.3 oraz wcześniejszych (komponent mall-portal).

Uwagi

Błąd sklasyfikowany jako CWE-640 (Weak Password Recovery Mechanism for Forgotten Password). Podatność zgłoszona w repozytorium producenta pod numerem issue #946 na GitHub. Szczegółowa analiza techniczna dostępna w serwisie VulnCheck.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Macrozheng Mall

    APP
    Macrozheng
    ≤ 1.0.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-9514MEDIUM6.3ten sam produkt

A vulnerability has been found in macrozheng mall up to 1.0.3. This impacts an unknown function of the compone...

CVE-2025-8755MEDIUM5.5ten sam produkt

A vulnerability was found in macrozheng mall up to 1.0.3 and classified as problematic. This issue affects the...

CVE-2025-8742MEDIUM6.3ten sam produkt

A vulnerability was found in macrozheng mall 1.0.3. It has been rated as problematic. Affected by this issue i...

CVE-2025-15118LOW2.1ten sam produkt

W macrozheng mall do wersji 1.0.3 wykryto lukę bezpieczeństwa dotyczącą nieznanego kodu w pliku /member/addres...

CVE-2025-13443LOW2.1ten sam produkt

W mall macrozheng do wersji 1.0.3 wykryto podatność. Problem dotyczy funkcji delete w pliku /member/readHistor...