Plataforma
php
Componente
craftcms/commerce
Corrigido em
5.0.1
5.6.0
CVE-2026-32272 describes a SQL Injection vulnerability discovered in Craft Commerce. This flaw allows an authenticated control panel user to bypass sanitization measures and inject malicious SQL code. The vulnerability impacts versions of Craft Commerce up to 5.5.4, and a fix is available in version 5.6.0.
A vulnerabilidade CVE-2026-32272 no Craft Commerce permite a injeção de SQL devido a uma falha na sanitização das propriedades ProductQuery::hasVariant e VariantQuery::hasProduct. Embora tenha sido implementado um bloqueador para remover propriedades de consulta Yii2 de nível superior (como where e orderBy), essas propriedades específicas não são filtradas corretamente. Isso permite que um atacante injete código SQL malicioso através do parâmetro criteria[hasVariant][where], que é então executado sem a validação adequada ao chamar Craft::configure() em uma subconsulta. O impacto potencial inclui a manipulação de dados, o vazamento de informações confidenciais e, em alguns casos, a execução remota de código, dependendo das permissões do usuário do banco de dados.
A vulnerabilidade pode ser explorada enviando uma solicitação maliciosa que inclua código SQL injetado no parâmetro criteria[hasVariant][where] ou criteria[hasProduct][where]. Isso pode ser alcançado através de formulários, parâmetros de consulta de URL ou qualquer outro ponto de entrada onde o Craft Commerce processa dados do usuário para construir consultas de banco de dados. A exploração é mais provável em ambientes onde os usuários têm a capacidade de influenciar a construção de consultas, como através de painéis de administração ou APIs personalizadas. A falta de uma validação adequada da entrada do usuário permite que o código SQL injetado seja executado no contexto do usuário do banco de dados do Craft Commerce.
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
A solução para esta vulnerabilidade é atualizar para o Craft Commerce versão 5.6.0 ou superior. Esta versão inclui uma correção que sanitiza adequadamente as propriedades hasVariant e hasProduct antes que sejam usadas na configuração de subconsultas. Enquanto isso, como medida temporária, recomenda-se evitar o uso dessas propriedades em consultas complexas, especialmente se estiver recebendo dados de fontes não confiáveis. Além disso, certifique-se de que o usuário do banco de dados do Craft Commerce tenha as permissões mínimas necessárias para executar suas funções, limitando o dano potencial em caso de exploração bem-sucedida.
Actualice a la versión 5.6.0 o posterior de Craft Commerce para mitigar la vulnerabilidad de inyección SQL ciega. Esta actualización corrige la falta de sanitización en las propiedades hasVariant y hasProduct, previniendo la extracción de datos sensibles de la base de datos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A injeção de SQL é um ataque de segurança que permite que os atacantes manipulem consultas de banco de dados inserindo código SQL malicioso.
Se você estiver usando Craft Commerce e não atualizar, seu site poderá ser vulnerável à manipulação de dados, vazamento de informações ou até mesmo execução remota de código.
Como medida temporária, evite usar hasVariant e hasProduct em consultas complexas e limite as permissões do usuário do banco de dados.
Não existem ferramentas específicas para detectar esta vulnerabilidade, mas testes de penetração e análise de código podem ajudar a identificar possíveis fraquezas.
Você pode encontrar mais informações no aviso de segurança do Craft CMS: [Link to Craft CMS security advisory]
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.