Krytyczna luka SQL Injection w platformie Vendure (CVE-2026-40887)
Krytyczna luka SQL Injection w platformie Vendure umożliwia nieautoryzowany dostęp do bazy danych. Zalecana natychmiastowa aktualizacja lub zastosowanie hotfixa.
- CVSS
- 9.1 CRITICAL
- EPSS
- 75.29%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W platformie Vendure wykryto krytyczną lukę SQL Injection w API sklepu, umożliwiającą nieautoryzowane wykonanie dowolnych zapytań SQL. Luka dotyczy wersji od 1.7.4 do przed 2.3.4, 3.5.7 i 3.6.2 i obejmuje wszystkie obsługiwane bazy danych.
Wpływ biznesowy
Eksploatacja tej luki może prowadzić do nieautoryzowanego dostępu do danych, ich modyfikacji lub usunięcia, co zagraża integralności i poufności informacji. Atakujący mogą wykorzystać ją do przejęcia kontroli nad bazą danych, co stanowi poważne zagrożenie dla stabilności i bezpieczeństwa infrastruktury IT.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie platformy Vendure do wersji 2.3.4, 3.5.7 lub 3.6.2, które zawierają poprawkę. Jeśli natychmiastowa aktualizacja nie jest możliwa, należy zastosować dostępny hotfix blokujący nieprawidłowe wartości parametru languageCode. Dodatkowo warto ograniczyć ekspozycję API, monitorować logi pod kątem podejrzanych zapytań oraz priorytetyzować wdrożenie poprawek.