发布日期：2026-02-07
更新日期：2026-03-30

受影响系统：

mall mall <= 1.0.3
mall mall

描述：

---

CVE(CAN) ID: CVE-2026-25858

mall是macro个人开发者的一套电商系统，包括前台商城系统及后台管理系统。
mall 1.0.3及之前版本的mall-portal密码重置流程存在身份认证漏洞，未经过身份验证的攻击者可利用该漏洞在仅需知道某一用户的电话号码的情况下，即可重置该用户账户的密码，从而能够远程接管任何已知或可猜测电话号码的用户账户。

<**>

建议：

---

厂商补丁：

mall
----
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://www.vulncheck.com/advisories/macrozheng-mall-unauthenticated-password-reset-via-otp-disclosure

浏览次数：134
严重程度：0（网友投票）