CVE-2022-39275 in Saleorinfo

Zusammenfassung

von VulDB • 30.06.2026

Saleor ist eine headless-Commerce-Plattform auf Basis von GraphQL. In den betroffenen Versionen wurden die ID-Typ-Eingaben bei bestimmten GraphQL-Mutationen nicht ordnungsgemäß überprüft, was es ermöglichte, Datenbankobjekte zuzugreifen, auf die der authentifizierte Benutzer möglicherweise keinen Zugriff haben sollte. Diese Schwachstelle kann genutzt werden, um folgende Informationen offenzulegen: Schätzen von Zeilenzahlen in Datenbanken aus Tabellen mit einem sequenziellen Primärschlüssel oder Offenlegen von E-Mail-Adressen und vollständigen Namen von Mitarbeiterbenutzern und Kunden über die `assignNavigation()`-Mutation. Dieses Problem wurde im Hauptzweig behoben und auf mehrere Releases zurückportiert (3.7.17, 3.6.18, 3.5.23, 3.4.24, 3.3.26, 3.2.14, 3.1.24). Es wird empfohlen, ein Upgrade durchzuführen. Für dieses Problem sind keine bekannten Workarounds verfügbar.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

02.09.2022

Veröffentlichung

06.10.2022

Moderieren

akzeptiert

Eintrag

VDB-210173

CPE

bereit

EPSS

0.00516

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!