Platform
nodejs
Component
saleor
Opgelost in
2.10.1
3.21.1
3.22.1
3.23.1
CVE-2026-39851 affects the Saleor e-commerce platform, specifically exposing user-provided email addresses in error messages through the requestEmailChange() mutation. This information disclosure vulnerability could potentially be exploited to gather user data. The vulnerability impacts versions 2.10.0 through 3.23.0a3, including specific versions like 3.22.47, 3.21.54, and 3.20.118. A fix has been released in versions 3.23.0a3, 3.22.47, 3.21.54, and 3.20.118.
CVE-2026-39851 heeft betrekking op het Saleor e-commerce platform. Tussen versies 2.10.0 en vóór 3.23.0a3, 3.22.47, 3.21.54 en 3.20.118, onthulde de requestEmailChange() mutatie het bestaan van door de gebruiker verstrekte e-mailadressen in foutmeldingen. Dit zou een aanvaller in staat kunnen stellen te bevestigen of een e-mailadres is gekoppeld aan een gebruikersaccount, wat gebruikt zou kunnen worden voor brute-force aanvallen of social engineering. Hoewel het geen direct toegang tot de account toestaat, is het bevestigen van het bestaan van een e-mailadres een belangrijke stap in een gerichte aanval. De ernst van deze kwetsbaarheid is matig, omdat de aanvaller een specifiek e-mailadres moet kennen of vermoeden om het uit te buiten.
Een aanvaller zou deze kwetsbaarheid kunnen exploiteren door een requestEmailChange()-verzoek te sturen met een e-mailadres waarvan hij denkt dat het tot een gebruiker behoort. Als het verzoek mislukt, kan de foutmelding onthullen of het e-mailadres in het systeem bestaat. Dit proces kan met verschillende e-mailadressen worden herhaald om een lijst met geldige adressen te maken. De verkregen informatie kan worden gebruikt voor gerichte phishing-aanvallen of om te proberen de wachtwoorden van specifieke accounts te resetten. De complexiteit van de exploitatie is laag, omdat er geen geavanceerde technische vaardigheden nodig zijn, maar er is wel toegang tot de Saleor API vereist.
Exploit Status
EPSS
0.06% (17% percentiel)
CISA SSVC
Om deze kwetsbaarheid te mitigeren, wordt het ten zeerste aanbevolen om Saleor te updaten naar versie 3.23.0a3, 3.22.47, 3.21.54 of 3.20.118. Deze versies bevatten een correctie die voorkomt dat e-mailadressen in foutmeldingen worden onthuld. In de tussentijd kunt u als tijdelijke maatregel log filtering implementeren om te voorkomen dat e-mailadressen in foutmeldingen worden gelogd. Het is cruciaal om de configuratie van uw Saleor-platform te bekijken om ervoor te zorgen dat er geen andere instellingen zijn die de onthulling van gevoelige informatie kunnen vergemakkelijken. Regelmatig toepassen van beveiligingspatches is een fundamentele praktijk om de veiligheid van het platform te waarborgen.
Actualice Saleor a la versión 3.23.0a3, 3.22.47, 3.21.54 o 3.20.118 para mitigar la vulnerabilidad de enumeración de usuarios. Esta actualización corrige la exposición de direcciones de correo electrónico proporcionadas por el usuario en los mensajes de error.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Saleor-versies tussen 2.10.0 en vóór 3.23.0a3, 3.22.47, 3.21.54 en 3.20.118 zijn kwetsbaar voor deze kwetsbaarheid.
Volg de upgrade-instructies in de officiële Saleor-documentatie. Zorg ervoor dat u uw database back-upt voordat u upgrade.
U kunt log filtering implementeren om te voorkomen dat e-mailadressen in foutmeldingen worden gelogd.
De kwetsbaarheid wordt als matig beschouwd, omdat de aanvaller een specifiek e-mailadres moet kennen of vermoeden.
U kunt meer informatie over deze kwetsbaarheid vinden in de CVE-kwetsbaarheidsdatabase: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-39851
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.