CVE-2022-39275 in Saleor
Riassunto
di VulDB • 30/06/2026
Saleor è una piattaforma di commercio headless basata su GraphQL. Nelle versioni interessate, alcune mutazioni GraphQL non verificavano correttamente il tipo dell'input ID, consentendo l'accesso a oggetti del database che un utente autenticato potrebbe non avere autorizzato ad accedere. Questa vulnerabilità può essere sfruttata per esporre le seguenti informazioni: la stima dei conteggi delle righe del database da tabelle con una chiave primaria sequenziale o l'esposizione degli indirizzi email e dei nomi completi degli utenti dello staff e dei clienti tramite la mutazione `assignNavigation()`. Questo problema è stato risolto nel ramo principale (main) ed è stato retrocompatibilmente integrato in diverse versioni di rilascio (3.7.17, 3.6.18, 3.5.23, 3.4.24, 3.3.26, 3.2.14, 3.1.24). Si consiglia agli utenti di effettuare l'aggiornamento. Non sono note soluzioni alternative (workaround) per questo problema.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.