https://blog.qife122.com/tags/spree/ Recent content in Spree on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 02:24:51 +0800 https://blog.qife122.com/p/spree-api-%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3%E9%80%9A%E8%BF%87%E8%AE%A2%E5%8D%95%E4%BF%AE%E6%94%B9%E5%AF%BC%E8%87%B4%E7%9A%84idor%E6%94%BB%E5%87%BB/ Mon, 12 Jan 2026 02:24:51 +0800 https://blog.qife122.com/p/spree-api-%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3%E9%80%9A%E8%BF%87%E8%AE%A2%E5%8D%95%E4%BF%AE%E6%94%B9%E5%AF%BC%E8%87%B4%E7%9A%84idor%E6%94%BB%E5%87%BB/ <h3 id="漏洞概要">漏洞概要</h3> <p><strong>Spree API 存在通过订单修改导致的身份验证不安全的直接对象引用 (IDOR) 漏洞</strong></p> <ul> <li><strong>严重等级</strong>: 中等</li> <li><strong>GitHub 已审核</strong></li> <li><strong>发布时间</strong>: 2026年1月8日</li> <li><strong>影响仓库</strong>: <code>spree/spree</code></li> </ul> <h3 id="漏洞详情">漏洞详情</h3> <p><strong>受影响软件包</strong></p> https://blog.qife122.com/p/spree-commerce%E6%90%9C%E7%B4%A2api%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ Tue, 30 Dec 2025 23:33:26 +0800 https://blog.qife122.com/p/spree-commerce%E6%90%9C%E7%B4%A2api%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ <h2 id="漏洞概述">漏洞概述</h2> <p><strong>CVE-2011-10026</strong> 是一个影响Spree Commerce开源电子商务平台的严重安全漏洞。该漏洞存在于平台API的搜索功能中，由于对用户输入缺乏适当的清理和验证，允许攻击者执行远程代码（RCE）。</p> https://blog.qife122.com/p/spree-commerce-search-api-%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90/ Sat, 13 Dec 2025 17:34:25 +0800 https://blog.qife122.com/p/spree-commerce-search-api-%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90/ <h3 id="漏洞概述">漏洞概述</h3> <p><strong>CVE-2011-10026</strong> 是一个影响 Spree Commerce 的严重安全漏洞。在 0.50.0 版本之前的所有 Spree 版本中，其 API 的搜索功能存在远程命令执行（RCE）漏洞。由于对用户输入处理不当，未经验证的攻击者能够通过特制的搜索参数在服务器上执行任意命令。</p>