Spree API惊现未授权IDOR漏洞，可泄露访客地址信息

Spree API 存在未授权 IDOR 漏洞 - 访客地址信息泄露 (CVE-2026-22589)

漏洞详情

严重性等级: 高危

发布日期: 2026年1月8日
最后更新: 2026年1月11日

受影响的包:

• bundler
• spree_core (RubyGems)

受影响的版本:

• = 4.0.0, < 4.10.2

• = 5.0.0, < 5.0.7

• = 5.1.0, < 5.1.9

• = 5.2.0, < 5.2.5

已修复的版本:

• 4.10.2
• 5.0.7
• 5.1.9
• 5.2.5

描述

概述

发现了一个未认证的不安全直接对象引用 (IDOR) 漏洞，允许未经身份验证的攻击者在无需提供有效凭据或会话 Cookie 的情况下访问访客的地址信息。

详细信息

在测试过程中，发现所有访客用户都可以通过操纵对象标识符，发出未经身份验证的请求来检索属于其他访客用户的地址数据。攻击者需要知道店铺前端 URL 结构才能执行此攻击（该结构可以在创建注册用户账户后获知）。

受影响的组件:

• 地址编辑端点:/addresses/{addressId}/edit

根本原因

CanCanCan Ability 类中的授权检查存在缺陷：

-can:manage,::Spree::Address,user_id:user.id+can:manage,::Spree::Address,user_id:user.idifuser.persisted?

在 Spree::Ability 类中，访客用户的user对象是一个Spree.user_class.new对象。

用于访问地址的端点是spree_storefrontgem 的一部分。使用 API 的无头构建不受影响，因为其中的地址端点仅适用于注册用户，并且记录范围限定为当前登录的用户。

漏洞复现步骤

前置条件:

• 无需身份验证
• 未设置 Cookie 或会话令牌

要复现此漏洞，只需执行如下所示的请求，将数字替换为任意值。初始请求使用访客地址 ID = 6 来获取信息。

请求示例 1:

GET /addresses/6/edit

重复请求并检查响应，本例中使用访客地址 ID = 2。

请求示例 2:

GET /addresses/2/edit

影响

未经身份验证的攻击者可以：

• 枚举并检索访客地址信息（与用户账户关联的地址不受影响）
• 访问个人身份信息 (PII)，例如：
  • 全名
  • 实际地址
  • 电话号码（如果存在）

此漏洞可能导致：

• 隐私侵犯
• 监管合规性问题（例如，GDPR）
• 用户信任丧失

参考链接

• GHSA-3ghg-3787-w2xr
• spree/spree@16067de
• spree/spree@4c2bd62
• spree/spree@d051925
• spree/spree@e1cff46
• https://nvd.nist.gov/vuln/detail/CVE-2026-22589
• https://github.com/rubysec/ruby-advisory-db/blob/master/gems/spree_core/CVE-2026-22589.yml

弱点分类

弱点标识: CWE-639

描述: 通过用户可控密钥绕过授权。
系统的授权功能未能防止用户通过修改标识数据的键值来访问另一用户的数据或记录。
glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxepdNYXwPMrWC1+fLMLB5xZ/jDqP18EFeTjJmQ/KRw7Yw==
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）