发布日期：2020-08-04
更新日期：2020-08-27

受影响系统：

Solidus Solidus < 2.9.6
Solidus Solidus < 2.8.6
Solidus Solidus < 2.10.2

描述：

---

CVE(CAN) ID: CVE-2020-15109

Solidus是一套开源的电子商务系统。
Solidus 2.8.6之前版本、2.9.6之前版本和2.10.2之前版本中存在输入验证漏洞。该漏洞源于结账系统允许的属性的构成形式。攻击者可利用该漏洞通过特制请求（仅更改当前订单地址，对与新运输关联的运输成本不做更改）对所有商店（具有至少两个运输区域且每个区域的运输成本不同）造成影响。




<*来源：Alberto Vena
        Martin Meyerhoff
  *>

建议：

---

厂商补丁：

Solidus
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://solidus.io/blog/2020/07/16/new-releases.html

浏览次数：907
严重程度：0（网友投票）