发布日期：2025-06-02
更新日期：2025-08-07

受影响系统：

CE Phoenix Cart CE Phoenix Cart ＞= 1.0.9.9 ＜= 1.1.0.2

描述：

---

CVE(CAN) ID: CVE-2025-47289

CE Phoenix是Phoenix Cart开源的一个功能强大的电子商务商店。
CE Phoenix 1.0.9.9至1.1.0.2版本存在跨站脚本漏洞，攻击者可利用该漏洞在客户评价描述区注入恶意JavaScript代码，当店铺管理员审批通过评价后，该脚本将在所有用户访问评价页面时自动执行，由于会话cookie未设置HttpOnly标志，攻击者可窃取用户凭证，最终可能导致账户接管攻击。

<**>

建议：

---

厂商补丁：

CE Phoenix Cart
---------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/CE-PhoenixCart/PhoenixCart/releases

浏览次数：78
严重程度：0（网友投票）