IT之家 2 月 14 日消息，據(jù)外媒 TechCrunch 今日報道，印度最大連鎖藥房之一 DavaIndia Pharmacy 存在嚴重安全漏洞，外部人員一度可獲取平臺最高管理員權限，從而訪問客戶訂單數(shù)據(jù)及關鍵藥品管理功能。

DavaIndia Pharmacy 在印度運營超過 2300 家門店，并正加速擴張。今年 1 月宣布新增 276 家門店，未來兩年計劃再增加 1200 至 1500 家。發(fā)現(xiàn)漏洞的安全研究員 Eaton Zveare 表示，其在網(wǎng)站中發(fā)現(xiàn)未加防護的“超級管理員”API 接口，并已向印度網(wǎng)絡安全部門報告。漏洞目前已修復。

Zveare 表示，問題源于后臺管理接口缺乏身份驗證機制，使未經(jīng)授權的用戶能夠創(chuàng)建擁有高權限的“超級管理員”賬戶。獲得該權限后，攻擊者可以查看包含客戶信息的數(shù)千筆在線訂單，修改商品信息與價格，創(chuàng)建優(yōu)惠券，甚至調(diào)整部分藥品是否必須憑處方銷售。

系統(tǒng)時間戳顯示，接口自 2024 年末起處于開放狀態(tài)。漏洞涉及近 17000 筆訂單數(shù)據(jù)，以及覆蓋 883 家門店的管理權限。此類訪問權限還支持修改網(wǎng)站內(nèi)容，理論上可能被用于頁面篡改或業(yè)務干擾。

由于藥房訂單可能涉及個人健康狀況和用藥記錄，此類數(shù)據(jù)的敏感程度遠高于一般消費信息。Zveare 表示：“客戶信息與訂單直接關聯(lián)，包括姓名、電話號碼、電子郵箱、郵寄地址、支付金額以及購買商品。對于部分消費者而言，所購藥品可能屬于隱私甚至令人尷尬的信息?！?/p>

Zveare 稱，其已于 2025 年 8 月向印度國家網(wǎng)絡應急響應機構 CERT-In 報告該漏洞。漏洞在數(shù)周內(nèi)得到修復，但公司確認時間較晚，于 11 月底向網(wǎng)絡安全部門作出正式說明。IT之家從報道中獲悉，研究人員表示，沒有跡象表明漏洞在修補前遭到利用。

廣告聲明：文內(nèi)含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。