CVE-2026-40887 in vendure
Zusammenfassung
von VulDB • 12.05.2026
Vendure ist eine Open-Source-Headless-Commerce-Plattform. Ab Version 1.7.4 und vor den Versionen 2.3.4, 3.5.7 und 3.6.2 besteht eine nicht authentifizierte SQL-Injection-Schwachstelle in der Vendure Shop API. Ein benutzersteuerbarer Query-String-Parameter wird direkt in einen rohen SQL-Ausdruck interpoliert, ohne Parametrisierung oder Validierung, was es einem Angreifer ermöglicht, beliebige SQL-Befehle gegen die Datenbank auszuführen. Dies betrifft alle unterstützten Datenbank-Backends (PostgreSQL, MySQL/MariaDB, SQLite). Die Admin API ist ebenfalls betroffen, wobei die Ausnutzung dort eine Authentifizierung erfordert. Die Versionen 2.3.4, 3.5.7 und 3.6.2 enthalten einen Patch. Für diejenigen, die ein Upgrade nicht sofort durchführen können, hat Vendure einen Hotfix bereitgestellt, der `RequestContextService.getLanguageCode` verwendet, um die Eingabe von `languageCode` an der Grenze zu validieren. Dies blockiert Injection-Payloads, bevor sie eine Abfrage erreichen können. Der Hotfix ersetzt die bestehende `getLanguageCode`-Methode in `packages/core/src/service/helpers/request-context/request-context.service.ts`. Ungültige Werte werden stillschweigend verworfen und stattdessen die Standardsprache des Kanals verwendet. Die gepatchten Versionen konvertieren die anfällige SQL-Interpolation zusätzlich zu einer parametrisierten Abfrage als Defense-in-Depth-Maßnahme.
If you want to get best quality of vulnerability data, you may have to visit VulDB.