Platform
php
Component
craftcms/commerce
Opgelost in
4.0.1
5.0.1
5.6.0
CVE-2026-32270 beschrijft een informatieblootstelling in Craft Commerce, waarbij ongeregistreerde gebruikers ordergegevens kunnen inzien via foutmeldingen. Deze kwetsbaarheid stelt aanvallers in staat om gevoelige informatie, zoals e-mailadressen en adressen, te achterhalen. De kwetsbaarheid treft versies van Craft Commerce tot en met 5.5.4. Een fix is beschikbaar in versie 5.6.0.
Deze kwetsbaarheid maakt het mogelijk voor aanvallers om ordergegevens in te zien zonder geautoriseerd te zijn. Door het manipuleren van de ordernummerparameter in de actionPay functie, kan een JSON-foutmelding gegenereerd worden die de serialized order object bevat. Dit object bevat gevoelige informatie zoals het e-mailadres van de klant, het verzendadres en het factuuradres. Hoewel de impact als 'Laag' wordt beschouwd, kan de blootstelling van deze gegevens leiden tot identiteitsdiefstal, phishing-aanvallen of andere vormen van misbruik. De kwetsbaarheid is vergelijkbaar met andere informatieblootstellingen waarbij foutmeldingen onbedoeld gevoelige data lekken.
Deze kwetsbaarheid is openbaar gemaakt op 2026-04-13. Er is geen indicatie van actieve exploitatie op dit moment. Er zijn geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend). De CVSS score is 2.5 (LOW), wat wijst op een lage waarschijnlijkheid van exploitatie.
Exploit Status
EPSS
0.06% (19% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden naar Craft Commerce versie 5.6.0 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Web Application Firewall (WAF) die de actionPay endpoint beveiligt en de JSON-foutmeldingen filtert om gevoelige data te verwijderen. Controleer ook de configuratie van Craft Commerce om ervoor te zorgen dat de toegang tot gevoelige data beperkt is. Na de upgrade, verifieer de fix door een poging te wagen om ordergegevens in te zien via een ongeregistreerde gebruiker en controleer of de foutmelding geen gevoelige data meer bevat.
Actualice Craft Commerce a la versión 4.11.0 o superior, o a la versión 5.6.0 o superior para mitigar la vulnerabilidad de divulgación de información. Esta actualización corrige el problema al reforzar la autorización antes de recuperar los pedidos por número, evitando así la exposición de datos sensibles a usuarios no autenticados.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
It's an Information Disclosure vulnerability in Craft Commerce (versions up to 5.5.4) allowing unauthenticated users to access sensitive order data like email addresses and shipping details.
If you're using Craft Commerce versions 5.5.4 or earlier, you are potentially affected by this vulnerability. Check your version immediately.
Upgrade to Craft Commerce version 5.6.0 or later to resolve the vulnerability. Consider temporary workarounds like stricter input validation if immediate upgrade isn't possible.
Currently, there are no publicly known exploits or active campaigns targeting CVE-2026-32270, but monitoring is still advised.
Refer to the official Craft CMS security advisory and the CVE details on the NVD (National Vulnerability Database) for more information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.