Plattform
php
Komponente
craftcms/commerce
Behoben in
4.0.1
5.0.1
5.6.0
CVE-2026-32270 is an Information Disclosure vulnerability affecting Craft Commerce versions up to 5.5.4. An attacker can exploit this flaw to retrieve sensitive order data, including customer email addresses, shipping addresses, and billing addresses, by manipulating the order number during an anonymous payment process. The vulnerability stems from the PaymentsController::actionPay function failing to properly enforce authorization checks before retrieving order details. Upgrade to Craft Commerce version 5.6.0 to remediate this issue.
Die CVE-2026-32270-Schwachstelle in Craft CMS Commerce ermöglicht nicht authentifizierten Benutzern den Zugriff auf sensible Bestelldaten. Konkret wird bei fehlgeschlagenem anonymen Zahlungsvorgang aufgrund einer E-Mail-Prüfung das serialisierte Bestellobjekt in der JSON-Fehlermeldung angezeigt. Dieses Objekt enthält vertrauliche Details wie die E-Mail-Adresse des Kunden, die Lieferadresse und die Rechnungsadresse. Ein Angreifer könnte diese Informationen potenziell sammeln, um Social Engineering, Phishing oder sogar Einblicke in die Kunden eines E-Commerce-Websites zu gewinnen.
Die Schwachstelle wird ausgenutzt, indem eine gültige Bestellnummer an die Aktion actionPay übermittelt wird, ohne authentifiziert zu sein. Wenn die E-Mail-Prüfung fehlschlägt (z. B. wenn die angegebene E-Mail-Adresse nicht im System vorhanden ist), gibt der Controller eine JSON-Antwort zurück, die das vollständige Bestellobjekt enthält. Ein Angreifer kann die Bestellnummer durch verschiedene Techniken erhalten, wie z. B. Brute-Force-Angriffe oder die Beobachtung des Netzwerkverkehrs. Die einfache Ausnutzbarkeit macht diese Schwachstelle zu einem erheblichen Problem, insbesondere für E-Commerce-Websites mit einem hohen Bestellvolumen.
Exploit-Status
EPSS
0.06% (19% Perzentil)
CISA SSVC
Die empfohlene Lösung ist ein Upgrade auf Version 5.6.0 oder höher von Craft CMS Commerce. Diese Version behebt die Schwachstelle, indem verhindert wird, dass das serialisierte Bestellobjekt in der Fehlermeldung angezeigt wird, wenn die E-Mail-Prüfung fehlschlägt. In der Zwischenzeit kann als vorübergehende Maßnahme ein benutzerdefinierter Filter im PaymentsController implementiert werden, um das order-Objekt aus der JSON-Antwort zu entfernen, bevor es an nicht authentifizierte Benutzer gesendet wird. Es wird auch empfohlen, die Anwendungssicherheitspolitiken zu überprüfen und zu verstärken, einschließlich der Eingabevalidierung und des Schutzes vor Injektionsangriffen.
Actualice Craft Commerce a la versión 4.11.0 o superior, o a la versión 5.6.0 o superior para mitigar la vulnerabilidad de divulgación de información. Esta actualización corrige el problema al reforzar la autorización antes de recuperar los pedidos por número, evitando así la exposición de datos sensibles a usuarios no autenticados.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Serialisiert bedeutet, ein komplexes Objekt (wie ein Bestellobjekt) in eine Zeichenkette umzuwandeln. Diese Zeichenkette kann dann über ein Netzwerk übertragen oder in einer Datei gespeichert werden. In diesem Fall enthält das serialisierte Bestellobjekt sensible Informationen, auf die nicht authentifizierte Benutzer zugreifen sollten.
Versuchen Sie, eine anonyme Zahlung auf Ihrer Website durchzuführen. Wenn die E-Mail-Prüfung fehlschlägt und die JSON-Antwort ein order-Objekt mit sensiblen Informationen enthält, ist Ihre Website anfällig. Der sicherste Weg zur Überprüfung ist ein Upgrade auf Version 5.6.0 oder höher.
Ja, Sie können einen benutzerdefinierten Filter im PaymentsController implementieren, um das order-Objekt aus der JSON-Antwort zu entfernen, bevor es an nicht authentifizierte Benutzer gesendet wird. Das Upgrade auf die gepatchte Version ist jedoch die am meisten empfohlene Lösung.
Die offengelegten sensiblen Informationen umfassen die E-Mail-Adresse des Kunden, die Lieferadresse und die Rechnungsadresse. Diese Informationen könnten für böswillige Zwecke verwendet werden, wie z. B. Phishing oder Social Engineering.
Wenn Sie vermuten, dass Ihre Website kompromittiert wurde, sollten Sie sofort einen IT-Sicherheitsexperten benachrichtigen. Sie sollten auch die Serverprotokolle auf verdächtige Aktivitäten überprüfen und Maßnahmen ergreifen, um die Daten Ihrer Kunden zu schützen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.