发布日期：2026-02-05
更新日期：2026-04-14

受影响系统：

web2py web2py <= 2.27.1-stable+timestamp.202

描述：

---

CVE(CAN) ID: CVE-2026-25198

web2py是web2py开源的一个免费和开源的全栈企业框架,用于敏捷开发安全的数据库驱动的基于Web的应用程序。
web2py 2.27.1-stable+timestamp.2023.11.16.08.03.57及之前版本存在开放重定向漏洞，该漏洞源于在处理重定向时未对用户提供的目标URL进行充分验证，允许任意外部地址作为跳转目标，攻击者可利用该漏洞构造包含恶意重定向地址的特制URL，诱使用户点击从而将用户重定向到钓鱼网站，窃取用户的登录凭证或其他敏感信息。

<**>

建议：

---

厂商补丁：

web2py
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/web2py/web2py/commit/b4e1ddbd6d40fb30863f6263a67bcdf411a0c6df

浏览次数：19
严重程度：0（网友投票）