Vendure电子商务平台中的自定义字段安全问题分析与修复

问题背景

在Vendure电子商务平台中，自定义字段(Custom Fields)是一个强大的功能，允许开发者扩展各种实体(如产品、订单等)的数据结构。这些字段可以配置不同的可见性属性，其中internal和public是两个关键参数：

• public: false 表示该字段不应通过公共API(如Shop API)暴露
• internal: true 表示该字段是系统内部使用的关键数据

问题描述

在Vendure 3.0.1及之前版本中存在一个重要的安全问题：即使将自定义字段标记为internal: true和public: false，用户仍能通过Shop API获取这些关键数据。

技术细节

问题的核心在于GraphQL查询处理逻辑的不足。当用户尝试直接查询带有子字段的自定义字段时，系统会正确返回验证错误(GRAPHQL_VALIDATION_FAILED)，提示"JSON类型没有子字段"。然而，如果用户简单地查询整个customFields对象而不指定子字段，系统会错误地返回包含所有自定义字段(包括标记为internal和private的字段)的完整JSON数据。

影响范围

该问题影响所有使用自定义字段存储关键信息的Vendure部署，可能导致以下风险：

1. 内部系统标识符泄露
2. 关键业务逻辑参数暴露
3. 可能被利用进行进一步的系统操作

修复方案

Vendure团队迅速响应，在以下版本中解决了此问题：

• Vendure 2.3.1 (针对2.x维护分支)
• Vendure 3.0.2 (针对3.x稳定分支)

修复方案主要改进了GraphQL中间件对自定义字段的权限检查逻辑，确保：

1. 在API请求处理早期阶段验证字段可见性
2. 严格实施public/internal标记的访问控制
3. 统一处理带或不带子字段的查询请求

最佳实践建议

对于Vendure开发者和管理员：

1. 立即升级到修复版本(3.0.2或2.3.1)
2. 审查现有自定义字段配置，确认关键字段已正确标记
3. 定期审计API访问日志，检测异常查询模式
4. 考虑实施额外的API请求过滤层，作为深度防御措施

总结

这个问题提醒我们，即使在使用成熟框架时，也需要对数据访问控制保持警惕。Vendure团队的快速响应展示了他们对安全问题的重视，开发者应当及时应用这些安全更新以保护系统免受潜在风险。