分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经主动忽略漏洞，细节向公众公开
简要描述：
由于某些逻辑的设计中存在缺陷，攻击者可以修改任意其他用户的密码，从而完全控制其他用户的账户，查看详细住址，电话，订单记录等敏感信息，甚至进行其他的消费操作
详细说明：
使用目标邮箱找回密码，这里写我的测试账号
注意其中的关键逻辑
code 区域/account/password.php?act=step1_1&sess=37RH%2FtIcJ10k6yDePpel4TkSy4qjayXDn2VWybxgyns%3D
step1_1是不是表示找回密码的步骤呢，这样我们可以尝试直接进入后面的逻辑
还真可以呢，注意那个sess似乎是代表了我们的身份，是唯一的，这里程序都替我们生成好了，最后修改密码
漏洞证明：
还要证明么？证明就把我抓起来了
修复方案：
版权声明：转载请注明来源 @
厂商回应：
危害等级：无影响厂商忽略
忽略时间： 12:19
厂商回复：
漏洞Rank：20
(WooYun评价)
最新状态：
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
有泄漏用户的注册资料的么?木有的话 应该只能评10分
@king 密码都修改了只10分？
你不知道人家账号 你怎么改
@king 管理员账号很容易获得啊
那要把话说完啊，我们做评估，信息应该准确点，，不能让别人去猜测影响！！
其实感觉乌云也可以出个比较好点评分标准，这样就不会自己觉得可以评多少，有个标准更有说服力呀
坐等公开！！！！
哈哈。被公开了
@一刀终情 管理账号不好猜呀 @king @唐尸三摆手 和4L 同样的疑问，这个没有登录，那改的是谁的密码？表示疑问
@zzR 没有登陆的时候你不是找回过密码么 那么其中的session已经确认为被找回密码的人的了
登录后才能发表评论，请先正在发布中的职位
天津市武清区崔黄口地毯产业园区宏光道20号
下次自动登录
没有账号，
&&&&&&还可以使用以下方式登录&&&&&&手机唯品会登陆密码忘记该如何重置密码？
　　1、打开唯品会，点击&马上登陆&选项。　　2、输入当时注册的手机&账号&。　　3、点击右下方的&忘记密码&选项。　　4、系统直接进入找回密码页面，输入账号和验证码，点击&下一步&。　　5、绑定的手机号会收到短信验证码，输入验证码点击&确定&。　　6、输入俩次新设置的密码，点击&确定&选项。　　7、密码就重新设置成功啦。}