Spree Commerce on 办公AI智能小助手 https://blog.qife122.com/tags/spree-commerce/ Recent content in Spree Commerce on 办公AI智能小助手 Hugo zh-cn qife Wed, 10 Dec 2025 06:31:11 +0800 Spree Commerce 搜索 API 存远程命令执行漏洞剖析 https://blog.qife122.com/p/spree-commerce-%E6%90%9C%E7%B4%A2-api-%E5%AD%98%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90/ Wed, 10 Dec 2025 06:31:11 +0800 https://blog.qife122.com/p/spree-commerce-%E6%90%9C%E7%B4%A2-api-%E5%AD%98%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90/ <h3 id="漏洞详情">漏洞详情</h3> <p><strong>包</strong></p> <ul> <li><code>bundler</code> / <code>rd_searchlogic</code> (RubyGems)</li> <li><code>bundler</code> / <code>spree</code> (RubyGems)</li> </ul> <p><strong>受影响版本</strong></p> <ul> <li><code>rd_searchlogic</code>:版本 &lt;= 3.0.1</li> <li><code>spree</code>:版本 &gt;= 0.30.0.beta1 且 &lt; 0.50.0</li> </ul> <p><strong>已修复版本</strong></p> <ul> <li><code>spree</code>:版本 0.50.0</li> </ul> <h3 id="描述">描述</h3> <p>Spree Commerce 在 0.50.x 之前的版本中,其 API 的搜索功能存在一个远程命令执行(RCE)漏洞。由于对输入数据清理不当,攻击者可以通过 <code>search[instance_eval]</code> 参数注入任意 Shell 命令。该参数会通过 Ruby 的 <code>send</code> 方法被动态调用。此漏洞使得未经身份验证的攻击者能够在服务器上执行命令。</p>