漏洞标题
N/A
漏洞描述信息
## 漏洞概述
Spree 版本 0.11.x 低于 0.11.2 和 0.30.x 低于 0.30.0 在使用 JavaScript 对象表示法(JSON)交换数据时,缺乏验证请求的机制,从而允许远程攻击者通过特定向量获取敏感信息。
## 影响版本
- 0.11.x 低于 0.11.2
- 0.30.x 低于 0.30.0
## 漏洞细节
攻击者可以通过以下向量利用漏洞获取敏感信息:
1. `admin/products.json`
2. `admin/users.json`
3. `admin/overview/get_report_data`
该漏洞涉及的是一种“JSON 劫持”(JSON hijacking)问题,由于缺乏请求验证机制,攻击者可以利用这些路径获取敏感数据。
## 影响
远程攻击者能够利用这一漏洞访问敏感信息,可能导致数据泄露和其他安全问题。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Spree 0.11.x before 0.11.2 and 0.30.x before 0.30.0 exchanges data using JavaScript Object Notation (JSON) without a mechanism for validating requests, which allows remote attackers to obtain sensitive information via vectors involving (1) admin/products.json, (2) admin/users.json, or (3) admin/overview/get_report_data, related to a "JSON hijacking" issue.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Spree Commerce信息泄露漏洞
漏洞描述信息
Spree(又名Spree Commerce)是美国Spree Commerce公司的一套基于Ruby on Rails的开源电子商务解决方案。 Spree 0.11.2之前的0.11.x版本以及0.30.0之前的0.30.x版本交换了使用不带验证请求机制的avaScript Object Notation(JSON)的数据。远程攻击者可以借助和(1)admin/products.json,(2)admin/users.json,或者(3)admin/overview/get_report_data有关的
CVSS信息
N/A
漏洞类别
信息泄露