Vulnerability in orderid parameter of China Telecom's handheld business hall app mall order page.

China Telecom Pocket Business Office is a cell phone terminal-based application software that provides users with recharge and payment, cost inquiries and other services. There is a vulnerability in the orderid parameter of the order page of the China Telecom Palm Business Hall app, which allows ...

XDCMS某处平衡权限漏洞可泄漏用户信息

简要描述： XDCMS订餐系统最新版，官方演示站某处平衡权限。 详细说明： XDCMS订餐系统最新版，官方演示站某处平衡权限。 可以查看任意用户订单，包括订单密码等用户敏感信息。 这是用户333333的订单260的信息： 然后登陆另一个用户444444，此用户名可以查看用户333333的订单信息： 再来看看444444用户看到的222号id的订单信息： 由于用户没有控制用户之间的权限问题，导致平衡权限，造成订单遍历。 由于没有刚放演示站的最新版代码，此处不做代码分析。 问题应该出在\system\modules\company\order.php的show函数处。 漏洞证明： 见详细信息...