发布日期：2026-02-06
更新日期：2026-04-09

受影响系统：

Spree Spree < 5.3.2.
Spree Spree < 5.2.7
Spree Spree < 5.1.10
Spree Spree < 5.0.8
Spree Spree < 4.10.3
Spree Spree

描述：

---

CVE(CAN) ID: CVE-2026-25758

Spree是个人开发者的一款采用Ruby on Rails开发的开源商城。
Spree 4.10.3之前版本、5.0.8之前版本、5.1.10之前版本、5.2.7之前版本和5.3.2之前版本存在安全漏洞，该漏洞源于允许任意访客用户通过操纵地址ID参数，将任意访客地址绑定到自己的订单上，攻击者利用该漏洞能够未经授权访问其他访客的个人身份信息包括姓名、地址和电话号码。

<*链接：https://github.com/spree/spree/security/advisories/GHSA-87fh-rc96-6fr6
*>

建议：

---

厂商补丁：

Spree
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/spree/spree/blob/1341623f2ae92685cdbe232885bf5808fc8f9ca8/core/app/models/spree/order/address_book.rb#L16-L38

浏览次数：84
严重程度：0（网友投票）