微新创想:2025年8月,安全研究员Eaton Zveare发现印度达瓦药房(DavaIndia Pharmacy)后台存在一个未加防护的超级管理员API接口
该漏洞自2024年末起一直保持开放状态,未被及时发现和处理
攻击者利用此漏洞可以创建具有高权限的账户,进而访问大量敏感信息
受影响的订单数据包含客户的姓名、联系方式、地址以及药品详情等重要信息
此外,攻击者还能够操控商品信息和处方策略等关键业务数据
这一漏洞影响了883家门店的管理权限,给企业带来了严重的安全风险
在发现该漏洞后,相关方已采取措施并在2025年11月底前完成了修复工作
研究人员表示目前没有证据表明该漏洞曾被实际利用
此次事件再次提醒企业重视API接口的安全防护,防止类似问题发生