Plattform
nodejs
Komponente
saleor
Behoben in
2.10.1
3.21.1
3.22.1
3.23.1
CVE-2026-39851 affects the Saleor e-commerce platform, specifically exposing user-provided email addresses in error messages through the requestEmailChange() mutation. This information disclosure vulnerability could potentially be exploited to gather user data. The vulnerability impacts versions 2.10.0 through 3.23.0a3, including specific versions like 3.22.47, 3.21.54, and 3.20.118. A fix has been released in versions 3.23.0a3, 3.22.47, 3.21.54, and 3.20.118.
CVE-2026-39851 betrifft die E-Commerce-Plattform Saleor. Zwischen den Versionen 2.10.0 und vor 3.23.0a3, 3.22.47, 3.21.54 und 3.20.118 gab die Mutation requestEmailChange() die Existenz von vom Benutzer bereitgestellten E-Mail-Adressen in Fehlermeldungen preis. Dies könnte einem Angreifer ermöglichen zu bestätigen, ob eine E-Mail-Adresse mit einem Benutzerkonto verknüpft ist, was für Brute-Force-Angriffe oder Social Engineering verwendet werden könnte. Obwohl dies keinen direkten Zugriff auf das Konto ermöglicht, ist die Bestätigung der Existenz einer E-Mail-Adresse ein wichtiger Schritt bei einem gezielten Angriff. Die Schwere dieser Schwachstelle ist moderat, da der Angreifer eine bestimmte E-Mail-Adresse kennen oder vermuten muss, um sie auszunutzen.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine requestEmailChange()-Anfrage mit einer E-Mail-Adresse sendet, von der er glaubt, dass sie zu einem Benutzer gehört. Wenn die Anfrage fehlschlägt, könnte die Fehlermeldung verraten, ob die E-Mail-Adresse im System existiert. Dieser Vorgang kann mit verschiedenen E-Mail-Adressen wiederholt werden, um eine Liste gültiger Adressen zu erstellen. Die erhaltenen Informationen können für gezielte Phishing-Angriffe oder zum Versuch, Passwörter bestimmter Konten zurückzusetzen, verwendet werden. Die Komplexität der Ausnutzung ist gering, da keine fortgeschrittenen technischen Kenntnisse erforderlich sind, sondern ein Zugriff auf die Saleor-API.
Exploit-Status
EPSS
0.06% (17% Perzentil)
CISA SSVC
Um diese Schwachstelle zu beheben, wird dringend empfohlen, Saleor auf Version 3.23.0a3, 3.22.47, 3.21.54 oder 3.20.118 zu aktualisieren. Diese Versionen enthalten eine Korrektur, die die Preisgabe von E-Mail-Adressen in Fehlermeldungen verhindert. In der Zwischenzeit können Sie als vorübergehende Maßnahme die Protokollfilterung implementieren, um zu verhindern, dass E-Mail-Adressen in Fehlermeldungen protokolliert werden. Es ist entscheidend, die Konfiguration Ihrer Saleor-Plattform zu überprüfen, um sicherzustellen, dass es keine anderen Einstellungen gibt, die die Preisgabe sensibler Informationen erleichtern könnten. Die regelmäßige Anwendung von Sicherheitspatches ist eine grundlegende Praxis, um die Sicherheit der Plattform zu gewährleisten.
Actualice Saleor a la versión 3.23.0a3, 3.22.47, 3.21.54 o 3.20.118 para mitigar la vulnerabilidad de enumeración de usuarios. Esta actualización corrige la exposición de direcciones de correo electrónico proporcionadas por el usuario en los mensajes de error.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Saleor-Versionen zwischen 2.10.0 und vor 3.23.0a3, 3.22.47, 3.21.54 und 3.20.118 sind anfällig für diese Schwachstelle.
Befolgen Sie die Upgrade-Anweisungen in der offiziellen Saleor-Dokumentation. Stellen Sie sicher, dass Sie Ihre Datenbank sichern, bevor Sie aktualisieren.
Sie können die Protokollfilterung implementieren, um zu verhindern, dass E-Mail-Adressen in Fehlermeldungen protokolliert werden.
Die Schwachstelle wird als moderat eingestuft, da der Angreifer eine bestimmte E-Mail-Adresse kennen oder vermuten muss.
Sie finden weitere Informationen zu dieser Schwachstelle in der CVE-Schwachstellendatenbank: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-39851
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.