Plateforme
php
Composant
craftcms/commerce
Corrigé dans
4.0.1
5.0.1
5.6.0
CVE-2026-32270 is an Information Disclosure vulnerability affecting Craft Commerce versions up to 5.5.4. An attacker can exploit this flaw to retrieve sensitive order data, including customer email addresses, shipping addresses, and billing addresses, by manipulating the order number during an anonymous payment process. The vulnerability stems from the PaymentsController::actionPay function failing to properly enforce authorization checks before retrieving order details. Upgrade to Craft Commerce version 5.6.0 to remediate this issue.
La vulnérabilité CVE-2026-32270 dans Craft CMS Commerce permet à des utilisateurs non authentifiés d'accéder à des données sensibles relatives aux commandes. Plus précisément, lorsque le paiement anonyme échoue en raison d'une vérification d'e-mail, la réponse JSON d'erreur inclut l'objet de commande sérialisé. Cet objet contient des détails confidentiels tels que l'adresse e-mail du client, l'adresse de livraison et l'adresse de facturation. Un attaquant pourrait potentiellement collecter ces informations à des fins d'ingénierie sociale, de phishing ou même pour obtenir des informations sur les clients d'un site web de commerce électronique.
La vulnérabilité est exploitée en fournissant un numéro de commande valide à l'action actionPay sans être authentifié. Si la vérification d'e-mail échoue (par exemple, si l'adresse e-mail fournie n'existe pas dans le système), le contrôleur renvoie une réponse JSON contenant l'objet de commande complet. Un attaquant peut obtenir le numéro de commande par diverses techniques, telles que la force brute ou l'observation du trafic réseau. La facilité d'exploitation rend cette vulnérabilité préoccupante, en particulier pour les sites web de commerce électronique ayant un volume important de commandes.
Statut de l'Exploit
EPSS
0.06% (percentile 19%)
CISA SSVC
La solution recommandée est de mettre à niveau vers la version 5.6.0 ou ultérieure de Craft CMS Commerce. Cette version corrige la vulnérabilité en empêchant l'objet de commande sérialisé d'être inclus dans la réponse d'erreur lorsque la vérification d'e-mail échoue. En attendant, comme mesure temporaire, un filtre personnalisé peut être implémenté dans le contrôleur PaymentsController pour supprimer l'objet order de la réponse JSON avant de l'envoyer aux utilisateurs non authentifiés. Il est également recommandé de revoir et de renforcer les politiques de sécurité de l'application, y compris la validation des entrées et la protection contre les attaques par injection.
Actualice Craft Commerce a la versión 4.11.0 o superior, o a la versión 5.6.0 o superior para mitigar la vulnerabilidad de divulgación de información. Esta actualización corrige el problema al reforzar la autorización antes de recuperar los pedidos por número, evitando así la exposición de datos sensibles a usuarios no autenticados.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Sérialisé signifie convertir un objet complexe (comme un objet de commande) en une chaîne de caractères. Cette chaîne de caractères peut ensuite être transmise sur un réseau ou stockée dans un fichier. Dans ce cas, l'objet de commande sérialisé contient des informations sensibles qui ne devraient pas être accessibles aux utilisateurs non authentifiés.
Essayez d'effectuer un paiement anonyme sur votre site web. Si la vérification d'e-mail échoue et que la réponse JSON contient un objet order avec des informations sensibles, votre site web est vulnérable. Le moyen le plus sûr de vérifier est de mettre à niveau vers la version 5.6.0 ou ultérieure.
Oui, vous pouvez implémenter un filtre personnalisé dans le contrôleur PaymentsController pour supprimer l'objet order de la réponse JSON avant de l'envoyer aux utilisateurs non authentifiés. Cependant, la mise à niveau vers la version corrigée est la solution la plus recommandée.
Les informations sensibles exposées incluent l'adresse e-mail du client, l'adresse de livraison et l'adresse de facturation. Ces informations pourraient être utilisées à des fins malveillantes, telles que le phishing ou l'ingénierie sociale.
Si vous pensez que votre site web a été compromis, vous devez immédiatement informer un professionnel de la sécurité informatique. Vous devez également examiner les journaux du serveur pour détecter toute activité suspecte et prendre des mesures pour protéger les données de vos clients.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.