nopCommerce漏洞(CVE-2025-11699)允许通过复用退出后的会话Cookie接管管理员账户

已在nopCommerce中发现一个重大的安全漏洞。nopCommerce是一个流行的开源电子商务平台，是包括微软、沃尔沃和宝马在内的全球主要品牌运营的在线商店的支柱。该漏洞被标识为CVE-2025-11699，允许攻击者通过重用本应在退出登录时销毁的会话Cookie来劫持用户账户（包括管理员账户）。

问题的核心在于平台如何处理会话终止。在安全的环境中，点击“退出登录”应该会使会话Cookie失效，使其变得无用。然而，CERT/CC漏洞说明指出，nopCommerce“在用户退出登录或会话终止时未能使会话Cookie失效，从而使攻击者能够使用捕获的Cookie来获取对应用程序的访问权限”。

这就造成了一种场景，即会话Cookie变成了一个永久的钥匙。即使在合法用户认为他们已经关闭会话之后，门仍然保持打开状态。

该公告警告称，“会话Cookie可以通过跨站脚本（XSS）、网络拦截或本地系统被入侵来获取，并且即使用户已经退出登录，该Cookie仍然可以被重复使用”。

此漏洞的影响非常严重，特别是因为nopCommerce为完整的零售生态系统提供支持。如果攻击者截获了管理员的Cookie，他们就可以完全绕过身份验证。

报告指出，该漏洞允许“持有有效会话Cookie的攻击者，即使在合法用户退出登录后，仍能访问特权端点（例如/admin），从而进行会话劫持”。

一旦进入，潜在的破坏是广泛的。这些Cookie的盗窃和重复使用可能导致“金融攻击或勒索软件攻击”。此外，CERT/CC强调，这类特定数据是网络犯罪黑市的商品：“会话Cookie和会话ID信息已在设备被入侵后在地下论坛出售，供其他攻击者在攻击中利用。”

有趣的是，这并非nopCommerce第一次面临这种特定类型的架构缺陷。漏洞说明指出，“此漏洞与CVE-2019-7215极为相似”。

敦促在nopCommerce上运营在线商店的管理员立即审核其版本号。该漏洞影响4.70及更早版本，以及特定的4.80.3版本。

为降低会话劫持的风险，建议采取以下措施：

• 立即更新：使用版本4.80.3或任何早于版本4.70的nopCommerce版本的用户，应尽快更新到最新版本4.90.3。
• 安全版本：任何高于4.70的版本（明确排除4.80.3）都包含了修复。