CVE-2026-40887 in vendureالمعلومات

الملخص

بحسب VulDB • 21/05/2026

Vendure هو منصة تجارة إلكترونية مفتوحة المصدر تعمل بنظام headless. بدءاً من الإصدار 1.7.4 وحتى الإصدارات السابقة لـ 2.3.4 و3.5.7 و3.6.2، توجد ثغرة حقن SQL غير مصادق عليها في واجهة برمجة تطبيقات (API) متجر Vendure. يتم دمج معلمة سلسلة الاستعلام التي يتحكم فيها المستخدم مباشرةً في تعبير SQL خام دون استخدام المعاملات (parameterization) أو التحقق من الصحة، مما يسمح للمهاجم بتنفيذ استعلامات SQL تعسفية ضد قاعدة البيانات. يؤثر هذا على جميع خلفيات قواعد البيانات المدعومة (PostgreSQL، MySQL/MariaDB، SQLite). تتأثر واجهة برمجة التطبيقات الإدارية (Admin API) أيضاً، على الرغم من أن استغلالها يتطلب المصادقة. تحتوي الإصدارات 2.3.4 و3.5.7 و3.6.2 على تصحيح للثغرة. لأولئك الذين لا يستطيعون الترقية فوراً، أصدرت Vendure تصحيحاً عاجلاً (hotfix) يستخدم `RequestContextService.getLanguageCode` للتحقق من صحة مدخلات `languageCode` عند الحدود. يمنع هذا حقن الأكواد الضارة قبل وصولها إلى أي استعلام. يستبدل التصحيح العاجل طريقة `getLanguageCode` الموجودة في `packages/core/src/service/helpers/request-context/request-context.service.ts`. يتم تجاهل القيم غير الصالحة بصمت ويتم استخدام لغة القناة الافتراضية بدلاً منها. تقوم الإصدارات المصححة أيضاً بتحويل التداخل SQL الضار إلى استعلام معامل (parameterized query) كإجراء دفاعي إضافي.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

15/04/2026

إفشاء

21/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-358581

CPE

جاهز

CWE

CWE-89 (مؤكد)

CVSS

9.1 (CNA)

EPSS

0.07704

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40887
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40887
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40887/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!