Plataforma
php
Componente
craftcms/commerce
Corregido en
5.0.1
5.6.0
Se ha descubierto una vulnerabilidad de inyección SQL en Craft Commerce, afectando a versiones 5.5.4 y anteriores. Esta falla permite a usuarios autenticados del panel de control inyectar código SQL malicioso, comprometiendo la integridad de la base de datos. La vulnerabilidad reside en las propiedades ProductQuery::hasVariant y VariantQuery::hasProduct, y se ha solucionado en la versión 5.6.0.
Un atacante con acceso autenticado al panel de control de Craft Commerce puede explotar esta vulnerabilidad para ejecutar consultas SQL arbitrarias. Esto podría resultar en la exfiltración de datos sensibles, como información de clientes, detalles de pedidos y datos de productos. Además, el atacante podría modificar o eliminar datos, comprometiendo la funcionalidad de la tienda online. La inyección SQL, al igual que en otros sistemas, puede ser utilizada para escalar privilegios y obtener acceso a otros sistemas en la red, si la base de datos tiene conexiones con otros servicios. La naturaleza de la inyección SQL, siendo un ataque de nivel de base de datos, implica un alto riesgo de impacto y una amplia superficie de ataque.
Esta vulnerabilidad fue publicada el 13 de abril de 2026. No se ha reportado su inclusión en el KEV de CISA al momento de la publicación. No se han identificado públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la inyección SQL la convierte en un objetivo atractivo para los atacantes. Se recomienda monitorear activamente las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
La solución recomendada es actualizar Craft Commerce a la versión 5.6.0 o superior, que incluye la corrección de esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de mitigación temporales. Estas pueden incluir la restricción del acceso a la base de datos, la implementación de una Web Application Firewall (WAF) con reglas para detectar y bloquear inyecciones SQL, y la revisión exhaustiva de la configuración de la base de datos para asegurar que se apliquen las mejores prácticas de seguridad. Es crucial monitorear los logs de la aplicación y de la base de datos en busca de patrones sospechosos que puedan indicar un intento de explotación. Después de la actualización, confirme la mitigación revisando los logs y realizando pruebas de penetración.
Actualice a la versión 5.6.0 o posterior de Craft Commerce para mitigar la vulnerabilidad de inyección SQL ciega. Esta actualización corrige la falta de sanitización en las propiedades hasVariant y hasProduct, previniendo la extracción de datos sensibles de la base de datos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32272 is a SQL Injection vulnerability affecting Craft Commerce versions up to 5.5.4. An authenticated admin can exploit it by manipulating hasVariant or hasProduct queries, potentially extracting sensitive data.
You are affected if you are running Craft Commerce version 5.5.4 or earlier. Upgrade to version 5.6.0 or later to mitigate the risk.
Upgrade Craft Commerce to version 5.6.0 or later. If immediate upgrading is not possible, implement temporary workarounds like restricting access and using a WAF.
While there are no confirmed reports of active exploitation, the vulnerability's nature suggests it could be exploited once a public proof-of-concept is available.
Refer to the official Craft CMS security advisory page for the most up-to-date information and announcements regarding CVE-2026-32272: [https://craftcms.com/security/](https://craftcms.com/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.