发布日期：2025-08-29
更新日期：2026-05-26

受影响系统：

Payload Payload < 3.44.0

描述：

---

CVE(CAN) ID: CVE-2025-4644

Payload是一个使用TypeScript、Node.js、React和MongoDB构建的Headless CMS和应用程序框架。
Payload的SQLite适配器存在会话固定漏洞，该漏洞源于在创建帐户期间程序重复使用标识符，攻击者可利用该漏洞创建新账户、保存JSON Web Token，而后删除账户，从而重用该token进行身份认证并以该用户身份执行操作。

<**>

建议：

---

厂商补丁：

Payload
-------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://cert.pl/en/posts/2025/08/CVE-2025-4643

浏览次数：116
严重程度：0（网友投票）