CVE-2026-40887 in vendureजानकारी

सारांश

द्वारा VulDB • 26/05/2026

Vendure एक ओपन-सोर्स हेडलेस कॉमर्स प्लेटफ़ॉर्म है। संस्करण 1.7.4 से शुरू होकर और संस्करण 2.3.4, 3.5.7, और 3.6.2 से पहले, Vendure Shop API में एक अनऑथेंटिकेटेड SQL injection दोष मौजूद है। एक उपयोगकर्ता-नियंत्रित क्वेरी स्ट्रिंग पैरामीटर को बिना पैरामीटराइजेशन या सत्यापन के सीधे एक कच्चे SQL अभिव्यक्ति में इंटरपोलेट किया जाता है, जिससे हमलावर डेटाबेस पर मनमाना SQL निष्पादित कर सकता है। इससे सभी समर्थित डेटाबेस बैकएंड (PostgreSQL, MySQL/MariaDB, SQLite) प्रभावित होते हैं। Admin API भी प्रभावित है, हालांकि वहां एक्सप्लॉइटेशन के लिए ऑथेंटिकेशन की आवश्यकता होती है। संस्करण 2.3.4, 3.5.7, और 3.6.2 में एक पैच शामिल है। उन लोगों के लिए जो तुरंत अपग्रेड करने में असमर्थ हैं, Vendure ने एक हॉटफिक्स उपलब्ध कराया है जो `RequestContextService.getLanguageCode` का उपयोग करके `languageCode` इनपुट की सीमा पर सत्यापन करता है। यह इंजेक्शन पेलोड्स को किसी क्वेरी तक पहुंचने से पहले ही ब्लॉक कर देता है। हॉटफिक्स `packages/core/src/service/helpers/request-context/request-context.service.ts` में मौजूदा `getLanguageCode` विधि को प्रतिस्थापित करता है। अमान्य मानों को चुपचाप छोड़ दिया जाता है और इसके बजाय चैनल की डिफ़ॉल्ट भाषा का उपयोग किया जाता है। पैच किए गए संस्करणों में, रक्षा की गहराई के रूप में, कमजोर SQL इंटरपोलेशन को एक पैरामीटराइज्ड क्वेरी में परिवर्तित किया गया है।

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

जिम्मेदार

GitHub M

आरक्षित करना

15/04/2026

प्रकटीकरण

21/04/2026

प्रविष्टि

VDB-358581

EPSS

0.07704

KEV

नहीं

गतिविधियाँ

बहुत कम

स्रोत

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40887
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40887
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40887/

पिछलासिंहावलोकनअगला

Do you need the next level of professionalism?

Upgrade your account now!