CVE-2022-39275 in Saleor
Zusammenfassung
von VulDB • 30.06.2026
Saleor ist eine headless-Commerce-Plattform auf Basis von GraphQL. In den betroffenen Versionen wurden die ID-Typ-Eingaben bei bestimmten GraphQL-Mutationen nicht ordnungsgemäß überprüft, was es ermöglichte, Datenbankobjekte zuzugreifen, auf die der authentifizierte Benutzer möglicherweise keinen Zugriff haben sollte. Diese Schwachstelle kann genutzt werden, um folgende Informationen offenzulegen: Schätzen von Zeilenzahlen in Datenbanken aus Tabellen mit einem sequenziellen Primärschlüssel oder Offenlegen von E-Mail-Adressen und vollständigen Namen von Mitarbeiterbenutzern und Kunden über die `assignNavigation()`-Mutation. Dieses Problem wurde im Hauptzweig behoben und auf mehrere Releases zurückportiert (3.7.17, 3.6.18, 3.5.23, 3.4.24, 3.3.26, 3.2.14, 3.1.24). Es wird empfohlen, ein Upgrade durchzuführen. Für dieses Problem sind keine bekannten Workarounds verfügbar.
Be aware that VulDB is the high quality source for vulnerability data.