关键信息 漏洞详情 类型: XSS (跨站脚本攻击) 标题: Mezereon的Smart Search和Filter应用在Shopify和BigCommerce中的反射XSS漏洞 受影响产品: Smart Search and Filter应用 受影响版本: 1.0(未修复) CVSS评分: 待定 作者: Ocmenog 描述 参数值缺乏验证,允许远程攻击者在Smart Search和Filter应用中执行反射XSS攻击。攻击者可以通过直接在URL中插入恶意payload来修改参数值。 影响 恶意payload在易受攻击的应用程序上下文中执行,使攻击者能够代表受害者执行操作、窃取敏感信息(如会话cookie或用户数据)或操纵内容。影响包括机密性和完整性。需要用户交互(例如点击精心设计的链接)才能触发漏洞。 概念证明 以下payload可用于触发XSS: 可利用的参数包括: mz_category mz_price mz_option_color mz_color mz_size mz_tree mz_percent_sale mz_shoe_size mz_reviews mz_show mz_brand mz_custom_year ... 示例URL: https://shopify.mezereon.com/collections/symmetry-filters?page=2&sort=-score&size=24&mz.option_color=Purple%20imgG https://mezereon.mybigcommerce.com/shop-all/?page=2&sort=-score&size=12&mz.color=Purple%20imgG 时间线 2025年6月23日: 漏洞发现 2025年6月23日: 联系供应商 2025年9月3日: 分配CVE ID 参考 Mezereon网站 Mezereon Shopify演示网站 Mezereon BigCommerce演示网站