Plateforme
php
Composant
craftcms/commerce
Corrigé dans
5.0.1
5.6.0
CVE-2026-32272 describes a SQL Injection vulnerability discovered in Craft Commerce. This flaw allows an authenticated control panel user to bypass sanitization measures and inject malicious SQL code. The vulnerability impacts versions of Craft Commerce up to 5.5.4, and a fix is available in version 5.6.0.
La vulnérabilité CVE-2026-32272 dans Craft Commerce permet une injection SQL en raison d'une faille dans la sanitisation des propriétés ProductQuery::hasVariant et VariantQuery::hasProduct. Bien qu'un blocage ait été mis en œuvre pour supprimer les propriétés de requête Yii2 de niveau supérieur (comme where et orderBy), ces propriétés spécifiques ne sont pas filtrées correctement. Cela permet à un attaquant d'injecter du code SQL malveillant via le paramètre criteria[hasVariant][where], qui est ensuite exécuté sans validation appropriée lors de l'appel de Craft::configure() sur une sous-requête. L'impact potentiel comprend la manipulation de données, la fuite d'informations sensibles et, dans certains cas, l'exécution de code à distance, en fonction des autorisations de l'utilisateur de la base de données.
La vulnérabilité peut être exploitée en envoyant une requête malveillante qui inclut du code SQL injecté dans le paramètre criteria[hasVariant][where] ou criteria[hasProduct][where]. Cela peut être réalisé via des formulaires, des paramètres de requête d'URL ou tout autre point d'entrée où Craft Commerce traite les données de l'utilisateur pour construire des requêtes de base de données. L'exploitation est plus probable dans les environnements où les utilisateurs ont la possibilité d'influencer la construction de requêtes, comme via des panneaux d'administration ou des API personnalisées. L'absence d'une validation appropriée des entrées utilisateur permet au code SQL injecté de s'exécuter dans le contexte de l'utilisateur de la base de données Craft Commerce.
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
La solution à cette vulnérabilité est de mettre à jour vers Craft Commerce version 5.6.0 ou supérieure. Cette version inclut une correction qui sanitise correctement les propriétés hasVariant et hasProduct avant qu'elles ne soient utilisées dans la configuration de sous-requêtes. En attendant, comme mesure temporaire, il est recommandé d'éviter d'utiliser ces propriétés dans des requêtes complexes, en particulier si vous recevez des données provenant de sources non fiables. De plus, assurez-vous que l'utilisateur de la base de données Craft Commerce dispose des autorisations minimales nécessaires pour effectuer ses fonctions, ce qui limite les dommages potentiels en cas d'exploitation réussie.
Actualice a la versión 5.6.0 o posterior de Craft Commerce para mitigar la vulnerabilidad de inyección SQL ciega. Esta actualización corrige la falta de sanitización en las propiedades hasVariant y hasProduct, previniendo la extracción de datos sensibles de la base de datos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'injection SQL est une attaque de sécurité qui permet aux attaquants de manipuler des requêtes de base de données en insérant du code SQL malveillant.
Si vous utilisez Craft Commerce et que vous ne mettez pas à jour, votre site web pourrait être vulnérable à la manipulation de données, à la fuite d'informations ou même à l'exécution de code à distance.
En tant que mesure temporaire, évitez d'utiliser hasVariant et hasProduct dans des requêtes complexes et limitez les autorisations de l'utilisateur de la base de données.
Il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais les tests d'intrusion et l'analyse de code peuvent aider à identifier les faiblesses potentielles.
Vous pouvez trouver plus d'informations dans l'avis de sécurité de Craft CMS : [Link to Craft CMS security advisory]
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.