Spree API 存在未授权 IDOR 漏洞 - 访客地址信息泄露 (CVE-2026-22589)
漏洞详情
严重性等级: 高危
发布日期: 2026年1月8日 最后更新: 2026年1月11日
受影响的包:
- bundler
- spree_core (RubyGems)
受影响的版本:
-
= 4.0.0, < 4.10.2
-
= 5.0.0, < 5.0.7
-
= 5.1.0, < 5.1.9
-
= 5.2.0, < 5.2.5
已修复的版本:
- 4.10.2
- 5.0.7
- 5.1.9
- 5.2.5
描述
概述
发现了一个未认证的不安全直接对象引用 (IDOR) 漏洞,允许未经身份验证的攻击者在无需提供有效凭据或会话 Cookie 的情况下访问访客的地址信息。
详细信息
在测试过程中,发现所有访客用户都可以通过操纵对象标识符,发出未经身份验证的请求来检索属于其他访客用户的地址数据。攻击者需要知道店铺前端 URL 结构才能执行此攻击(该结构可以在创建注册用户账户后获知)。
受影响的组件:
- 地址编辑端点:
/addresses/{addressId}/edit
根本原因
CanCanCan Ability 类中的授权检查存在缺陷:
- can :manage, ::Spree::Address, user_id: user.id
+ can :manage, ::Spree::Address, user_id: user.id if user.persisted?
在 Spree::Ability 类中,访客用户的 user 对象是一个 Spree.user_class.new 对象。
用于访问地址的端点是 spree_storefront gem 的一部分。使用 API 的无头构建不受影响,因为其中的地址端点仅适用于注册用户,并且记录范围限定为当前登录的用户。
漏洞复现步骤
前置条件:
- 无需身份验证
- 未设置 Cookie 或会话令牌
要复现此漏洞,只需执行如下所示的请求,将数字替换为任意值。初始请求使用访客地址 ID = 6 来获取信息。
请求示例 1:
GET /addresses/6/edit
重复请求并检查响应,本例中使用访客地址 ID = 2。
请求示例 2:
GET /addresses/2/edit
影响
未经身份验证的攻击者可以:
- 枚举并检索访客地址信息(与用户账户关联的地址不受影响)
- 访问个人身份信息 (PII),例如:
- 全名
- 实际地址
- 电话号码(如果存在)
此漏洞可能导致:
- 隐私侵犯
- 监管合规性问题(例如,GDPR)
- 用户信任丧失
参考链接
- GHSA-3ghg-3787-w2xr
- spree/spree@16067de
- spree/spree@4c2bd62
- spree/spree@d051925
- spree/spree@e1cff46
- nvd.nist.gov/vuln/detail…
- github.com/rubysec/rub…
弱点分类
弱点标识: CWE-639
描述: 通过用户可控密钥绕过授权。 系统的授权功能未能防止用户通过修改标识数据的键值来访问另一用户的数据或记录。 glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxepdNYXwPMrWC1+fLMLB5xZ/jDqP18EFeTjJmQ/KRw7Yw==
