Katalog CVE

CVE-2026-40887

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W wersjach od 1.7.4 do przed 2.3.4, 3.5.7 i 3.6.2 platformy Vendure występuje podatność na nieautoryzowaną iniekcję SQL w API sklepu. Parametr zapytania kontrolowany przez użytkownika jest interpolowany bezpośrednio w surowym wyrażeniu SQL, co pozwala atakującemu na wykonanie dowolnych zapytań SQL w bazie danych.

Ocena ryzyka

Podatność ta może prowadzić do poważnych naruszeń bezpieczeństwa, umożliwiając atakującym dostęp do danych wrażliwych w bazie danych. Dotyczy to wszystkich wspieranych backendów baz danych, co zwiększa ryzyko dla organizacji korzystających z Vendure.

Rekomendacja

Zaleca się jak najszybszą aktualizację do wersji 2.3.4, 3.5.7 lub 3.6.2, które zawierają poprawkę. Dla tych, którzy nie mogą natychmiast zaktualizować, dostępna jest poprawka tymczasowa, która waliduje wejście `languageCode` przed dotarciem do zapytań.

Oryginalny opis (angielski, źródło NVD)

Vendure is an open-source headless commerce platform. Starting in version 1.7.4 and prior to versions 2.3.4, 3.5.7, and 3.6.2, an unauthenticated SQL injection vulnerability exists in the Vendure Shop API. A user-controlled query string parameter is interpolated directly into a raw SQL expression without parameterization or validation, allowing an attacker to execute arbitrary SQL against the database. This affects all supported database backends (PostgreSQL, MySQL/MariaDB, SQLite). The Admin API is also affected, though exploitation there requires authentication. Versions 2.3.4, 3.5.7, and 3.6.2 contain a patch. For those who are unable to upgrade immediately, Vendure has made a hotfix available that uses `RequestContextService.getLanguageCode` to validate the `languageCode` input at the boundary. This blocks injection payloads before they can reach any query. The hotfix replaces the existing `getLanguageCode` method in `packages/core/src/service/helpers/request-context/request-contex

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS