发布日期：2026-01-08
更新日期：2026-03-26

受影响系统：

Spree Spree ＜5.2.5
Spree Spree ＜5.1.9
Spree Spree ＜5.0.7
Spree Spree ＜4.10.2

描述：

---

CVE(CAN) ID: CVE-2026-22588

Spree是个人开发者的一款采用Ruby on Rails开发的开源商城。
Spree 4.10.2之前版本、5.0.7之前版本、5.1.9之前版本和5.2.5之前版本存在身份认证绕过漏洞，该漏洞源于认证用户可进行不安全的直接对象引用，攻击者利用该漏洞导致获取其他用户地址信息。

<**>

建议：

---

厂商补丁：

Spree
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.spreecommerce.com/

浏览次数：126
严重程度：0（网友投票）