CVE-2026-35407 in Saleorinformazioni

Riassunto

di VulDB • 17/06/2026

Saleor è una piattaforma di e-commerce. Dalla versione 2.10.0 fino alle versioni precedenti alla 3.23.0a3, nonché nelle versioni 3.22.47, 3.21.54 e 3.20.118, è stata rilevata una vulnerabilità relativa alla logica di business e all'autorizzazione nel flusso di modifica dell'email dell'account: il processo di conferma non verificava che il token di conferma della modifica dell'email fosse stato emesso per l'utente autenticato in questione. Di conseguenza, un token valido per la modifica dell'email generato per un account può essere riutilizzato (replay) mentre si è autenticati con un account diverso. L'indirizzo email del secondo account viene quindi aggiornato al valore new_email specificato nel token, anche se tale token non era mai stato emesso per quell'account. Questa vulnerabilità è stata risolta nelle versioni 3.23.0a3, 3.22.47, 3.21.54 e 3.20.118.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

02/04/2026

Divulgazione

08/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00294

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!