CVE-2026-40887: SQL-ін'єкція в Vendure Shop API
Виявлено критичну SQL-ін'єкцію в Vendure Shop API, що дозволяє неавторизоване виконання SQL-запитів. Рекомендується оновлення або застосування хотфікса.
- CVSS
- 9.1 CRITICAL
- EPSS
- 75.29%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У Vendure, відкритій платформі для електронної комерції, виявлено критичну вразливість SQL-ін'єкції в Shop API, що дозволяє неавторизованому користувачу виконувати довільні SQL-запити. Проблема стосується версій від 1.7.4 до 2.3.4, 3.5.7 і 3.6.2, впливаючи на всі підтримувані бази даних.
Бізнес-вплив
Ця вразливість може призвести до компрометації бази даних, викрадення або зміни даних, що критично для бізнесу, який використовує Vendure для управління комерційними операціями. Неавторизоване виконання SQL-запитів створює ризик порушення цілісності та конфіденційності інформації, що може спричинити фінансові втрати та шкоду репутації.
Рекомендовані дії адміністратора
Рекомендується негайно оновити Vendure до версій 2.3.4, 3.5.7 або 3.6.2, які містять виправлення. Якщо оновлення наразі неможливе, застосуйте доступний хотфікс, що перевіряє параметр languageCode на межі запиту, блокуючи шкідливі ін'єкції. Також слід переглянути журнали доступу та SQL-запитів на ознаки експлуатації та обмежити доступ до API, де це можливо.