CVE-2026-25858
KrytyczneStreszczenie
W wersji 1.0.3 i wcześniejszych makrozheng mall występuje podatność związana z uwierzytelnianiem w procesie resetowania hasła w portalu, która pozwala nieautoryzowanemu atakującemu na resetowanie haseł dowolnych kont użytkowników przy użyciu jedynie numeru telefonu ofiary. Proces resetowania hasła ujawnia jednorazowe hasło (OTP) bezpośrednio w odpowiedzi API i weryfikuje żądania resetowania hasła tylko poprzez porównanie podanego OTP z wartością przechowywaną pod numerem telefonu.
Ocena ryzyka
Podatność ta umożliwia zdalne przejęcie konta dowolnego użytkownika, którego numer telefonu jest znany lub łatwy do odgadnięcia, co stwarza poważne zagrożenie dla bezpieczeństwa danych użytkowników oraz reputacji organizacji.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji makrozheng mall, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów weryfikacji tożsamości użytkowników przed resetowaniem haseł.
Oryginalny opis (angielski, źródło NVD)
macrozheng mall version 1.0.3 and prior contains an authentication vulnerability in the mall-portal password reset workflow that allows an unauthenticated attacker to reset arbitrary user account passwords using only a victim’s telephone number. The password reset flow exposes the one-time password (OTP) directly in the API response and validates password reset requests solely by comparing the provided OTP to a value stored by telephone number, without verifying user identity or ownership of the telephone number. This enables remote account takeover of any user with a known or guessable telephone number.

