Plataforma
nodejs
Componente
@vendure/core
Corregido en
3.0.1
3.6.1
1.7.5
3.5.7
Se ha descubierto una vulnerabilidad de inyección SQL no autenticada en la API de la tienda Vendure. Un parámetro de cadena de consulta controlado por el usuario se interpola directamente en una expresión SQL sin parametrización ni validación, lo que permite a un atacante ejecutar SQL arbitrario contra la base de datos. Esta vulnerabilidad afecta a las versiones 3.0.0–3.5.7 y 3.6.0–3.6.1 de @vendure/core y afecta a todos los backends de base de datos soportados (PostgreSQL, MySQL/MariaDB, SQLite). La solución es actualizar a la versión 2.3.4 o superior.
La inyección SQL permite a un atacante comprometer la confidencialidad, integridad y disponibilidad de los datos almacenados en la base de datos de Vendure. Un atacante podría extraer información sensible como credenciales de usuario, datos de clientes, información de productos y detalles de pedidos. Además, podrían modificar o eliminar datos, o incluso ejecutar comandos del sistema operativo subyacente, dependiendo de los permisos de la cuenta de base de datos utilizada por Vendure. La falta de autenticación para la explotación en la API de administración amplía el potencial de daño, ya que un atacante autenticado podría causar daños significativos al sistema. Esta vulnerabilidad es comparable en impacto a otras inyecciones SQL que permiten el acceso completo a la base de datos.
La vulnerabilidad fue publicada el 14 de abril de 2026. No se ha reportado explotación activa en entornos de producción, pero la naturaleza crítica de la vulnerabilidad y la facilidad de explotación la convierten en un objetivo atractivo para los atacantes. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la redacción. Se recomienda monitorear fuentes de inteligencia de amenazas para detectar cualquier indicio de actividad maliciosa relacionada con esta vulnerabilidad. La disponibilidad de un POC público podría acelerar la explotación.
Estado del Exploit
EPSS
5.38% (90% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 2.3.4 o superior de @vendure/core. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Considere la posibilidad de utilizar un firewall de aplicaciones web (WAF) para filtrar el tráfico malicioso y bloquear intentos de inyección SQL. Además, revise y fortalezca las reglas de acceso a la base de datos, asegurándose de que la cuenta de usuario de Vendure tenga los permisos mínimos necesarios. Monitoree los registros de la aplicación y de la base de datos en busca de patrones sospechosos que puedan indicar un intento de explotación. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta ejecutando pruebas de penetración en la aplicación.
Actualice el paquete @vendure/core a la versión 2.3.4 o superior, 3.5.7 o superior, o 3.6.2 o superior. Si no puede actualizar inmediatamente, aplique el hotfix proporcionado por Vendure reemplazando el método `getLanguageCode` en `packages/core/src/service/helpers/request-context/request-context.service.ts` para validar la entrada `languageCode`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-40887 is a critical SQL injection vulnerability in the Vendure Shop API, allowing attackers to execute arbitrary SQL queries. It affects versions 3.0.0–3.5.7 and 3.6.0–3.6.1 of the @vendure/core component, potentially leading to data breaches and system compromise.
If you are running Vendure Shop API with @vendure/core versions 3.0.0–3.5.7 or 3.6.0–3.6.1, you are affected by this vulnerability. Check your package.json file to confirm your version.
The recommended fix is to upgrade to version 2.3.4 or later of the @vendure/core component. If upgrading is not immediately possible, implement temporary workarounds like input validation and WAF rules.
Currently, there is no public evidence of CVE-2026-40887 being actively exploited in the wild, but the high CVSS score suggests it is a high-priority vulnerability to address.
Refer to the official Vendure security advisory for CVE-2026-40887 on the Vendure blog or GitHub repository. Check their security announcements page for the latest information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.