Sylius — это платформа электронной коммерции с открытым исходным кодом на Symfony. При принудительном ограничении использования рекламной акции было обнаружено состояние гонки между временем проверки и временем использования (TOCTOU). Тот же класс уязвимостей влияет на лимит использования рекламной акции (глобальный счетчик использования в объектах Promotion), лимит использования купонов (глобальный счетчик использования в объектах PromotionCoupon) и лимит использования купонов для каждого клиента (количество использований каждого клиента в объектах PromotionCoupon).
Во всех трех случаях проверка приемлемости считывает использованный счетчик (или количество заказов) из объекта Doctrine в памяти во время проверки, тогда как фактическое приращение использования в OrderPromotionsUsageModifier происходит позже, во время завершения заказа — без каких-либо блокировок на уровне базы данных или атомарных операций между двумя фазами. Поскольку Doctrine сбрасывает абсолютное значение (используется SET = 1), а не атомарное приращение (используется SET = используется + 1), а также поскольку затронутым объектам не хватает оптимистической блокировки, все параллельные запросы считывают одни и те же устаревшие счетчики использования и одновременно проходят проверки приемлемости. Злоумышленник может воспользоваться этим, подготовив несколько корзин с одной и той же рекламной акцией или купоном ограниченного использования и одновременно выполнив запросы PATCH /api/v2/shop/orders/{token}/complete.
Все запросы проходят проверку лимита использования и завершаются успешно, что позволяет использовать одноразовую акцию или купон произвольное количество раз. Лимит на одного клиента можно обойти таким же образом, если один клиент одновременно выполнит несколько заказов. Для использования этой уязвимости не требуется аутентификация.
Это может привести к прямым финансовым потерям из-за неограниченного использования промо-акций ограниченного использования и купонов на скидку. Проблема исправлена в версиях: 1.9.12, 1.10.16, 1.11.17, 1.12.23, 1.13.15, 1.14.18, 2.0.16, 2.1.12, 2.2.3 и выше.
Показать оригинальное описание (EN)
Sylius is an Open Source eCommerce Framework on Symfony. A Time-of-Check To Time-of-Use (TOCTOU) race condition was discovered in the promotion usage limit enforcement. The same class of vulnerability affects the promotion usage limit (the global used counter on Promotion entities), coupon usage limit (the global used counter on PromotionCoupon entities), and coupon per-customer usage limit (the per-customer redemption count on PromotionCoupon entities). In all three cases, the eligibility check reads the used counter (or order count) from an in-memory Doctrine entity during validation, while the actual usage increment in OrderPromotionsUsageModifier happens later during order completion — with no database-level locking or atomic operations between the two phases. Because Doctrine flushes an absolute value (SET used = 1) rather than an atomic increment (SET used = used + 1), and because the affected entities lack optimistic locking, concurrent requests all read the same stale usage counts and pass the eligibility checks simultaneously. An attacker can exploit this by preparing multiple carts with the same limited-use promotion or coupon and firing simultaneous PATCH /api/v2/shop/orders/{token}/complete requests. All requests pass the usage limit checks and complete successfully, allowing a single-use promotion or coupon to be redeemed an arbitrary number of times. The per-customer limit can be bypassed in the same way by a single customer completing multiple orders concurrently. No authentication is required to exploit this vulnerability. This may lead to direct financial loss through unlimited redemption of limited-use promotions and discount coupons. The issue is fixed in versions: 1.9.12, 1.10.16, 1.11.17, 1.12.23, 1.13.15, 1.14.18, 2.0.16, 2.1.12, 2.2.3 and above.
Характеристики атаки
Последствия
Строка CVSS v3.1