CVE-2025-13474：CWE-639 通过用户控制密钥导致的授权绕过漏洞

严重性：高 类型：漏洞 CVE：CVE-2025-13474

Menulux Software Inc. 移动应用中存在的“通过用户控制密钥绕过授权”漏洞，允许攻击者利用受信任的标识符。

此问题影响 9.5.8 版本之前的移动应用。

技术总结

CVE-2025-13474 是一个授权绕过漏洞，归类于 CWE-639（通过用户控制密钥绕过授权），影响 Menulux Software Inc. 9.5.8 版本之前的移动应用程序。该漏洞源于应用程序未能正确验证或限制其授权逻辑中用作受信任标识符的用户控制密钥。这一缺陷允许未经身份验证的远程攻击者操纵这些密钥，以未经授权的方式访问受保护的资源或数据，绕过正常的授权检查。该漏洞可通过网络远程利用，无需任何权限或用户交互，从而增加了其风险等级。CVSS v3.1 基础评分为 7.5 分，反映了易于利用的特性以及对保密性的高度影响，可能导致敏感的用户或业务数据暴露。然而，该漏洞不影响数据完整性或系统可用性。目前尚未报告公开的漏洞利用程序，但该漏洞已公布，对于受影响应用版本的用户应被视为重大风险。在报告时缺乏可用补丁，需要供应商紧急响应和用户采取缓解措施。

潜在影响

对于欧洲组织而言，此漏洞构成了未经授权披露数据的重大风险，可能会暴露通过 Menulux 移动应用管理的敏感客户或业务信息。酒店、零售或任何依赖 Menulux 解决方案进行移动订购或服务管理的行业都可能面临保密性破坏。由于未经授权访问个人数据，这可能根据 GDPR 导致监管合规问题、声誉损害和潜在的经济损失。由于该漏洞不影响完整性或可用性，运营中断的可能性较小，但仅保密性影响就值得紧急关注。漏洞利用的远程、无需身份验证的特性增加了攻击的可能性，尤其是在应用广泛部署且网络访问可用的环境中。

缓解建议

1. 一旦可用，立即将 Menulux 移动应用更新至 9.5.8 或更高版本，因为该版本解决了授权绕过问题。
2. 在可以打补丁之前，使用网络分段和防火墙规则限制对应用后端服务的网络访问，以减小暴露面。
3. 对应用内的授权机制进行彻底审查和审计，重点关注用户控制密钥和受信任标识符的处理，以确保正确的验证和访问控制。
4. 实施针对与应用相关的异常访问模式或未经授权数据访问尝试的监控和告警。
5. 向用户和管理员普及相关风险，并鼓励及时更新应用程序。
6. 与 Menulux Software Inc. 协调，以获取及时的补丁和安全公告。
7. 考虑部署额外的应用层安全控制措施，例如 Web 应用防火墙 (WAF)，以检测和阻止针对授权逻辑的漏洞利用尝试。

受影响国家

德国、法国、英国、意大利、西班牙、荷兰、比利时、瑞典

来源： CVE Database V5 发布日期： 2025年12月16日，星期二