发布日期：2025-08-22
更新日期：2026-03-30

受影响系统：

Shopizer Shopizer 3.2.7

描述：

---

CVE(CAN) ID: CVE-2025-51605

Shopizer是Shopizer团队的一套基于Java的开源电子商务解决方案。
Shopizer 3.2.7版本存在来源验证错误漏洞，该漏洞源于跨域资源共享实现会将客户端提供的Origin标头直接反映到Access-Control-Allow-Origin标头中，而未进行任何白名单验证，攻击者可利用该漏洞发送经过身份认证的跨源请求并读取敏感响应。

<**>

建议：

---

厂商补丁：

Shopizer
--------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://github.com/ShenxiuSec/cve-proofs/blob/main/POC-20250512-02.md

浏览次数：129
严重程度：0（网友投票）