CVE-2026-40887 in vendure
要約
〜によって VulDB • 2026年05月26日
Vendureはオープンソースのヘッドレスコマースプラットフォームです。バージョン1.7.4以降、かつバージョン2.3.4、3.5.7、3.6.2より前のバージョンにおいて、Vendure Shop APIに認証不要のSQLインジェクション脆弱性が存在します。ユーザーが制御できるクエリ文字列パラメータが、パラメータ化や検証を行わずに生SQL式に直接挿入されるため、攻撃者がデータベースに対して任意のSQLを実行することが可能になります。これはすべてのサポート対象データベースバックエンド(PostgreSQL、MySQL/MariaDB、SQLite)に影響します。Admin APIも影響を受けますが、そこでの悪用には認証が必要です。バージョン2.3.4、3.5.7、3.6.2にはパッチが含まれています。すぐにアップグレードできないユーザー向けに、Vendureは`RequestContextService.getLanguageCode`を使用して境界で`languageCode`入力を検証するホットフィックスを提供しています。これにより、インジェクションペイロードがクエリに到達する前にブロックされます。このホットフィックスは、`packages/core/src/service/helpers/request-context/request-context.service.ts`内の既存の`getLanguageCode`メソッドを置き換えます。無効な値は静かに破棄され、代わりにチャネルのデフォルト言語が使用されます。パッチ適用済みバージョンでは、さらに防御の深層化として、脆弱なSQL挿入がパラメータ化されたクエリに変換されています。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.