发布日期：2025-08-04
更新日期：2025-12-15

受影响系统：

cloudfavorites favorites-web <= 1.3.0

描述：

---

CVE(CAN) ID: CVE-2025-8529

favorites-web（云收藏）是cloudfavorites开源的一个使用Spring Boot构建的开源网站。
favorites-web 1.3.0及之前版本的app/src/main/java/com/favorites/web/CollectController.java文件的getCollectLogoUrl函数存在服务器端请求伪造漏洞，该漏洞源于网络请求的URI参数是用户所控制且缺少安全处理，未经身份认证的攻击者可利用该漏洞探查并使用目标系统的内部服务。

<**>

建议：

---

厂商补丁：

cloudfavorites
--------------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://vuldb.com/?submit.622176

浏览次数：74
严重程度：0（网友投票）