大麦微信小程序出现越权漏洞？多人被陌生人随意退票

近期小红书有多人发帖称自己的票被莫名奇妙退掉，然后后面有网友发现，大麦的微信小程序订单页面截图发给其他人，其他人可以通过微信入口识别并进入到截图对应的订单页面，并且可以操作退款等越权行为。

https://i.imgur.com/PnY1uWj.jpeg https://i.imgur.com/SV9AuCZ.jpeg https://i.imgur.com/Kuh7qRi.jpeg

截止到目前，多位网友称此越权漏洞已经被修复。

盲猜一手，微信小程序在截图的时候会加上可识别的盲水印，并且指向当前小程序的链接，并且这个链接大麦在做的时候可能带有用户授权信息，在其他人识别进入这个链接后，直接获得订单号主权限，然后达到越权的实现。

随便一搜，微信的这个功能很多人都反馈，如果没有特殊处理会有越权问题： https://developers.weixin.qq.com/community/develop/doc/00082e6e1908405c24b2ea5ff61000?highLine=%25E6%2588%25AA%25E5%259B%25BE%25E8%25AF%2586%25E5%2588%25AB

并且这个功能还不能关闭，有做小程序的需要注意了。