发布日期：2026-02-10
更新日期：2026-04-03

受影响系统：

Evershop Evershop < 2.1.1
Evershop Evershop

描述：

---

CVE(CAN) ID: CVE-2026-25993

EverShop是EverShop开源的一个NodeJS电商平台。
EverShop 2.1.1之前版本存在SQL注入漏洞，该漏洞源于在分类更新和删除事件处理过程中，该应用会将从数据库存储的url_key提取的path/request_path值，通过字符串拼接嵌入到SQL语句中，并传递给execute()方法执行，攻击者利用该漏洞在url_key中存储恶意字符串，后续的事件处理就会修改并执行该SQL语句，从而导致二阶SQL注入。

<*链接：https://github.com/evershopcommerce/evershop/security/advisories/GHSA-3h84-9rhc-j2ch
*>

建议：

---

厂商补丁：

Evershop
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/evershopcommerce/evershop/security/advisories/GHSA-3h84-9rhc-j2ch

浏览次数：136
严重程度：0（网友投票）