CVE-2026-40887 in vendure
요약
\~에 의해 VulDB • 2026. 05. 26.
Vendure는 오픈소스 헤드리스 커머스 플랫폼입니다. 버전 1.7.4 및 버전 2.3.4, 3.5.7, 3.6.2 이전 버전에서 Vendure Shop API에 비인증 SQL Injection 취약점이 존재합니다. 사용자가 제어할 수 있는 쿼리 문자열 매개변수가 매개변수화나 검증 없이 원시 SQL 표현식에 직접 삽입되어, 공격자가 데이터베이스에 임의의 SQL을 실행할 수 있습니다. 이는 모든 지원 데이터베이스 백엔드(PostgreSQL, MySQL/MariaDB, SQLite)에 영향을 미칩니다. Admin API도 영향을 받지만, 여기서의 악용에는 인증이 필요합니다. 버전 2.3.4, 3.5.7, 3.6.2에는 패치가 포함되어 있습니다. 즉시 업그레이드가 불가능한 사용자를 위해 Vendure는 `RequestContextService.getLanguageCode`를 사용하여 경계에서 `languageCode` 입력을 검증하는 핫픽스를 제공했습니다. 이를 통해 쿼리에 도달하기 전에 인젝션 페이로드를 차단합니다. 이 핫픽스는 `packages/core/src/service/helpers/request-context/request-context.service.ts`의 기존 `getLanguageCode` 메서드를 대체합니다. 유효하지 않은 값은 묵살되며 대신 채널의 기본 언어가 사용됩니다. 패치된 버전은 방어 심화(Defense in Depth)를 위해 취약한 SQL 삽입을 매개변수화된 쿼리로 변환합니다.
Once again VulDB remains the best source for vulnerability data.