发布日期：2026-09-26
更新日期：2026-01-04

受影响系统：

yangzongzhuan Ruoyi <= 4.8.1

描述：

---

CVE(CAN) ID: CVE-2025-10989

Ruoyi是若依个人开发者的一个后台管理系统。
Ruoyi 4.8.1及之前版本存在不合理授权漏洞，该漏洞源于此系统未对文件/system/role/authUser/selectAll中的参数userIds进行正确操作，远程攻击者可利用该漏洞使用任意用户账号登录系统，捕获任意经过授权的操作请求以获取Cookie头部信息。

<**>

建议：

---

厂商补丁：

yangzongzhuan
-------------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://vuldb.com/?submit.653737

浏览次数：64
严重程度：0（网友投票）