CVE-2026-35407 in Saleorinformation

Résumé

par VulDB • 17/06/2026

Saleor est une plateforme de commerce électronique. À partir des versions 2.10.0 jusqu'à la version antérieure à 3.23.0a3 (ainsi que dans les versions 3.22.47, 3.21.54 et 3.20.118), une faille de logique métier et d'autorisation a été identifiée dans le flux de modification de l'adresse e-mail du compte : la phase de confirmation ne vérifiait pas que le jeton de confirmation de changement d'e-mail avait bien été émis pour l'utilisateur authentifié concerné. Par conséquent, un jeton valide généré pour changer l'e-mail d'un compte peut être réutilisé (replay) lors de l'authentification en tant qu'utilisateur d'un autre compte. L'adresse e-mail du second compte est alors mise à jour avec la nouvelle adresse indiquée dans le jeton (`new_email`), bien que ce jeton n'ait jamais été émis pour ce compte spécifique. Cette vulnérabilité a été corrigée dans les versions 3.23.0a3, 3.22.47, 3.21.54 et 3.20.118.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Réserver

02/04/2026

Divulgation

08/04/2026

Modérer

accepté

Entrée

VDB-356343

CPE

prêt

EPSS

0.00294

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!