JVNDB-2025-023892

 youlai.techのyoulai-mallにおける複数の脆弱性

youlaitechのyoulai-mall 1.0.0および2.0.0には脆弱性が存在します。この脆弱性はmall-ums/ums-boot/src/main/java/com/youlai/mall/ums/controller/app/MemberController.javaのgetMemberByMobile関数に影響を与え、不適切なアクセス制御が発生します。攻撃者はリモートからこの脆弱性を悪用でき、エクスプロイトは公開されています。悪用される危険性があります。ベンダーには脆弱性公開前に通知しましたが、全く対応がありませんでした。

youlai.tech

• youlai-mall 1.0.0
• youlai-mall 2.0.0

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• Issues : youlai-mall improper access control and business logic flaw exposes mobile→memberId mapping via GET /mall-ums/app-api/v1/members/mobile/{mobile}, enabling horizontal privilege escalation and unauthorized operations on victim accounts  Issue #27  Hwwg/cve

Vulnerability Database

• VulDB : CVE-2025-15086 youlaitech youlai-mall MemberController.java getMemberByMobile access control (EUVD-2025-205391)
• VulDB : Submit #708176: youlai-mall latest Improper Control of Resource Identifiers

1. 不適切な権限設定(CWE-266) [その他]
2. 不適切なアクセス制御(CWE-284) [その他]

1. CVE-2025-15086

1. National Vulnerability Database (NVD) : CVE-2025-15086

• [2026年01月06日]
    掲載