Plataforma
php
Componente
craftcms/commerce
Corrigido em
4.0.1
5.0.1
5.6.0
A vulnerabilidade CVE-2026-32270 é uma falha de Divulgação de Informações encontrada no componente craftcms/commerce do Craft CMS. Essa falha permite que usuários não autenticados obtenham dados sensíveis de pedidos, como endereços de e-mail, de envio e de cobrança, através de respostas de erro JSON. A vulnerabilidade afeta versões do Craft Commerce até a 5.5.4, e uma correção foi lançada na versão 5.6.0.
A vulnerabilidade CVE-2026-32270 no Craft CMS Commerce permite que usuários não autenticados acessem dados sensíveis dos pedidos. Especificamente, quando um pagamento anônimo falha devido a uma verificação de e-mail, a resposta JSON de erro inclui o objeto de pedido serializado. Este objeto contém detalhes confidenciais como o endereço de e-mail do cliente, o endereço de entrega e o endereço de cobrança. Um atacante pode potencialmente coletar essas informações para fins de engenharia social, phishing ou até mesmo para obter informações sobre os clientes de um site de comércio eletrônico.
A vulnerabilidade é explorada fornecendo um número de pedido válido para a ação actionPay sem estar autenticado. Se a verificação de e-mail falhar (por exemplo, se o e-mail fornecido não existir no sistema), o controlador retorna uma resposta JSON contendo o objeto de pedido completo. Um atacante pode obter o número do pedido por meio de várias técnicas, como força bruta ou observando o tráfego de rede. A facilidade de exploração torna esta vulnerabilidade uma preocupação significativa, especialmente para sites de comércio eletrônico com um grande volume de pedidos.
Status do Exploit
EPSS
0.06% (percentil 19%)
CISA SSVC
A solução recomendada é atualizar para a versão 5.6.0 ou posterior do Craft CMS Commerce. Esta versão corrige a vulnerabilidade, impedindo que o objeto de pedido serializado seja incluído na resposta de erro quando a verificação de e-mail falhar. Enquanto isso, como medida temporária, um filtro personalizado pode ser implementado no controlador PaymentsController para remover o objeto order da resposta JSON antes de enviá-lo a usuários não autenticados. Também é recomendável revisar e fortalecer as políticas de segurança do aplicativo, incluindo a validação de entrada e a proteção contra ataques de injeção.
Actualice Craft Commerce a la versión 4.11.0 o superior, o a la versión 5.6.0 o superior para mitigar la vulnerabilidad de divulgación de información. Esta actualización corrige el problema al reforzar la autorización antes de recuperar los pedidos por número, evitando así la exposición de datos sensibles a usuarios no autenticados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Serializado significa converter um objeto complexo (como um objeto de pedido) em uma string. Esta string pode então ser transmitida através de uma rede ou armazenada em um arquivo. Neste caso, o objeto de pedido serializado contém informações sensíveis que não devem ser acessíveis a usuários não autenticados.
Tente realizar um pagamento anônimo em seu site. Se a verificação de e-mail falhar e a resposta JSON contiver um objeto order com informações sensíveis, seu site é vulnerável. A maneira mais segura de verificar é atualizar para a versão 5.6.0 ou posterior.
Sim, você pode implementar um filtro personalizado no controlador PaymentsController para remover o objeto order da resposta JSON antes de enviá-lo a usuários não autenticados. No entanto, atualizar para a versão corrigida é a solução mais recomendada.
A informação sensível exposta inclui o endereço de e-mail do cliente, o endereço de entrega e o endereço de cobrança. Esta informação pode ser utilizada para fins maliciosos, como phishing ou engenharia social.
Se você suspeitar que seu site foi comprometido, deve notificar imediatamente um profissional de segurança da informação. Você também deve revisar os registros do servidor para detectar qualquer atividade suspeita e tomar medidas para proteger os dados de seus clientes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.