发布日期：2026-02-07
更新日期：2026-04-07

受影响系统：

mall mall <= 1.0.3

描述：

---

CVE(CAN) ID: CVE-2026-25858

mall是macro个人开发者的一套电商系统，包括前台商城系统及后台管理系统。
mall 1.0.3及之前版本存在身份认证错误漏洞，该漏洞源于密码重置流程直接在API响应中暴露了一次性密码，并且仅通过将用户提供的OTP与按电话号码存储的值进行比对来验证密码重置请求，而未验证用户身份或电话号码的所有权，攻击者利用该漏洞进行远程账户接管。

<**>

建议：

---

厂商补丁：

mall
----
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://www.vulncheck.com/advisories/macrozheng-mall-unauthenticated-password-reset-via-otp-disclosure

浏览次数：38
严重程度：0（网友投票）