Plataforma
nodejs
Componente
saleor
Corrigido em
2.10.1
3.21.1
3.22.1
3.23.1
A vulnerabilidade CVE-2026-39851 afeta a plataforma de e-commerce Saleor, permitindo a exposição de endereços de email fornecidos pelos usuários em mensagens de erro. Essa falha pode levar à divulgação de informações sensíveis, comprometendo a privacidade dos usuários. As versões afetadas incluem 2.10.0 até a versão anterior a 3.23.0a3, bem como as versões 3.22.47, 3.21.54 e 3.20.118. Uma correção para esta vulnerabilidade foi implementada nas versões 3.23.0a3, 3.22.47, 3.21.54 e 3.20.118.
A vulnerabilidade CVE-2026-39851 afeta a plataforma de comércio eletrônico Saleor. Entre as versões 2.10.0 e anteriores a 3.23.0a3, 3.22.47, 3.21.54 e 3.20.118, a mutação requestEmailChange() revelava a existência de endereços de e-mail fornecidos pelo usuário em mensagens de erro. Isso poderia permitir que um atacante confirmasse se um endereço de e-mail está associado a uma conta de usuário, o que poderia ser usado para ataques de força bruta ou engenharia social. Embora não permita o acesso direto à conta, a confirmação da existência de um endereço de e-mail é um passo importante em um ataque direcionado. A gravidade desta vulnerabilidade é moderada, pois requer que o atacante conheça ou suspeite de um endereço de e-mail específico para explorá-la.
Um atacante pode explorar esta vulnerabilidade enviando uma solicitação requestEmailChange() com um endereço de e-mail que acredita pertencer a um usuário. Se a solicitação falhar, a mensagem de erro pode revelar que o endereço de e-mail existe no sistema. Este processo pode ser repetido com diferentes endereços de e-mail para criar uma lista de endereços válidos. As informações obtidas podem ser usadas para ataques de phishing direcionados ou para tentar redefinir as senhas de contas específicas. A complexidade da exploração é baixa, pois não requer habilidades técnicas avançadas, mas requer acesso à API do Saleor.
Status do Exploit
EPSS
0.06% (percentil 17%)
CISA SSVC
Para mitigar esta vulnerabilidade, recomenda-se fortemente atualizar o Saleor para a versão 3.23.0a3, 3.22.47, 3.21.54 ou 3.20.118. Essas versões incluem uma correção que impede a divulgação de endereços de e-mail em mensagens de erro. Enquanto isso, como medida temporária, você pode implementar a filtragem de logs para evitar que os endereços de e-mail sejam registrados em mensagens de erro. É crucial revisar a configuração da plataforma Saleor para garantir que não haja outras configurações que possam facilitar a divulgação de informações confidenciais. A aplicação regular de patches de segurança é uma prática fundamental para manter a segurança da plataforma.
Actualice Saleor a la versión 3.23.0a3, 3.22.47, 3.21.54 o 3.20.118 para mitigar la vulnerabilidad de enumeración de usuarios. Esta actualización corrige la exposición de direcciones de correo electrónico proporcionadas por el usuario en los mensajes de error.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
As versões do Saleor entre 2.10.0 e anteriores a 3.23.0a3, 3.22.47, 3.21.54 e 3.20.118 são vulneráveis a esta vulnerabilidade.
Siga as instruções de atualização fornecidas na documentação oficial do Saleor. Certifique-se de fazer um backup do seu banco de dados antes de atualizar.
Você pode implementar a filtragem de logs para evitar que os endereços de e-mail sejam registrados em mensagens de erro.
A vulnerabilidade é considerada moderada, pois requer que o atacante conheça ou suspeite de um endereço de e-mail específico.
Você pode encontrar mais informações sobre esta vulnerabilidade no banco de dados de vulnerabilidades CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-39851
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.