Craft Commerce
Уязвимости
20
Эксплуатируемые
0
Макс. CVSS
8.7
Макс. EPSS
0.00476
Распределение по критичности
Критический
0
Высокий
5
Средний
12
Низкий
3
Затронутые диапазоны версий
4.0.0–4.10.14.0.0–4.10.34.0.0–4.11.04.0.1–4.10.15.0.0–5.5.25.0.0–5.6.0< 4.10.2< 5.5.3
Также сопоставлено как (исходные строки): craft_commerce
Топ уязвимостей
CVE-2026-32272Craft Commerce - это платформа электронной коммерции для Craft CMS. В версиях 5.0.0-5.5.4 существует уязвимость инъекций SQL, в которой ProductQuery::hasVariant и VariantQuery::hasProduct обходят блок-лист ввода, добавленный в ElementIndexesController в предварительном исправлении безопасности (GHSA-2453-mppf-46cj). Блоклист только лишает верхнего уровня Yii2 Query свойств, таких как где и заказBy, но имеет Variant и имеет Продукцию, проходя нетронутым и внутренне вызываем Craft::configure() на подсекле без санации, повторно вводя SQL инъекции. Любой аутентифицированный пользователь панели управления может использовать это с помощью слепой инъекции SQL на основе буляшек для извлечения произвольного содержимого базы данных, включая ключи безопасности, которые позволяют создавать сеансы администратора для эскалации привилегий. Эта проблема исправлена в версии 5.6.0.
CVE-2026-29174Craft Commerce - это платформа электронной коммерции для Craft CMS. До 5.5.3 Craft Commerce уязвима для впрыскивания SQL в конечную точку данных таблицы данных. Параметры сортировки[0][направления] и сортировки[0][sortField] включаются непосредственно в пункт addOrderBy() без какого-либо подтверждения или санации. Аутентифицированный злоумышленник с доступом к разделу Commerce Inventory может вводить произвольные запросы SQL, что может привести к полному компрометации базы данных. Эта уязвимость зафиксирована в пункте 5.5.3.
CVE-2026-29172Craft Commerce - это платформа электронной коммерции для Craft CMS. До 4.10.2 и 5.5.3 Craft Commerce уязвима для SQL Injection в конечную точку таблицы покупаемых. Параметр сортировки разделен по |, и первая часть (имя столбца) передается непосредственно в виде массива ключа для заказаBy() без проверки белого списка. Запросник Yii2 не избегает клавиш массива, что позволяет аутентифицированному злоумышленнику вводить произвольный SQL в пункт ORDER BY. Эта уязвимость зафиксирована в пунктах 4.10.2 и 5.5.3.
CVE-2026-29175Craft Commerce - это платформа электронной коммерции для Craft CMS. До 5.5.3 на странице товарного инвентаря существуют скрытые уязвимости XSS. Поля SKU отображения названий продукта, заголовка варианта и SKU-варианта отображаются без надлежащего выхода HTML, что позволяет злоумышленнику выполнять произвольный JavaScript, когда любой пользователь (включая администраторов) просматривает страницу управления запасами. Эта уязвимость зафиксирована в пункте 5.5.3.
CVE-2026-32271Craft Commerce - это платформа электронной коммерции для Craft CMS. В версиях 4.0.0-4.10 и 5.0.0-5.5.4 содержится уязвимость инъекций SQL в виджете Commerce TotalRevenue, которая позволяет любому аутентифицированному пользователю панели управления достигать удаленного выполнения кода через четырехступенчатую цепочку эксплуатации. Атака использует недезинфицированные настройки виджета, интрополированные в SQL-выражения, в сочетании с поддержкой нескольких запросов PDO по умолчанию, чтобы ввести злонамеренно сериализованный объект PHP в таблицу очереди. Когда потребитель очереди обрабатывает вводимую работу, неограниченное вызов unserialize() в yii2-queue инстанцирует цепочку гаджетов GuzzleHttp FileCookieJar, чей __destruct() метод записывает веб-оболочку PHP на веб-бутро сервера. Полная цепочка требует только трех HTTP-запросов, никаких административных привилегий и приводит к произвольному выполнению команды в качестве пользователя процесса PHP, при этом обработка очереди запускается через неаутентифицированную конечную точку. Эта проблема была исправлена в версиях 4.10.3 и 5.5.5.
CVE-2026-31867Craft Commerce - это платформа электронной коммерции для Craft CMS. До 4.11.0 и 5.6.0 уязвимость Insecure Direct Object Reference (IDOR) существует в функциональности корзины Craft Commerce, которая позволяет пользователям захватывать любую корзину покупок, зная или угадывая ее 32-символьное число. CartController принимает параметр номера, поставляемый пользователем, для загрузки и изменения корзины покупок. Валида в собственность не выполняется - код проверяет только, существует ли заказ и является ли неполным, а не имеет ли заявителя разрешение на доступ к нему. Эта уязвимость позволяет осуществлять покупки и потенциальное воздействие на PII. Эта уязвимость зафиксирована в пунктах 4.11.0 и 5.6.0.
CVE-2026-25485Craft Commerce - это платформа электронной коммерции для Craft CMS. В версиях от 4.0.0-RC1 до 4.10.0 и от 5.0.0 до 5.5.1, сохраненная уязвимость XSS в Craft Commerce позволяет злоумышленникам выполнять вредоносный JavaScript в браузере администратора. Это происходит потому, что поля отгрузочных систем (имя и описание) в разделе «Обращение» в разделе «Обращение магазина» не продезинфицируются должным образом перед отображением в панели администратора. Эта проблема была исправлена в версиях 4.10.1 и 5.5.2.
CVE-2026-25483Craft Commerce - это платформа электронной коммерции для Craft CMS. В версиях от 4.0.0-RC1 до 4.10.0 и от 5.0.0 до 5.5.1 сохраняется уязвимость XSS в Сообщении об истории статуса заказов Craft Commerce. Сообщение отображается с помощью фильтра |md, который позволяет использовать необработанный HTML, что позволяет выполнять вредоносный скрипт. Если у пользователя есть разрешения на резервное копирование базы данных (которые не требуют повышенного сеанса), злоумышленник может эксфильтровать всю базу данных, включая все учетные данные пользователя, PII клиента, историю заказов и коды восстановления 2FA. Эта проблема была исправлена в версиях 4.10.1 и 5.5.2.
CVE-2026-25482Craft Commerce - это платформа электронной коммерции для Craft CMS. В версиях от 4.0.0-RC1 до 4.10.0 и от 5.0.0 до 5.5.1 сохраняется уязвимость DOM XSS существует в виджете приборной панели «Недавние заказы». Имя статуса заказа отображается через конкуляцию строк JavaScript без надлежащего побега, что позволяет выполнять скрипт при посещении любого администратора приборной панели. Эта проблема была исправлена в версиях 4.10.1 и 5.5.2.
CVE-2026-25522Craft Commerce - это платформа электронной коммерции для Craft CMS. В версиях от 4.0.0-RC1 до 4.10.0 и от 5.0.0 до 5.5.1, сохраненная уязвимость XSS в Craft Commerce позволяет злоумышленникам выполнять вредоносный JavaScript в браузере администратора. Это происходит потому, что поля зоны доставки (имя и описание) в разделе «Управление магазином» не продезинфицируются должным образом перед отображением в панели администратора. Эта проблема была исправлена в версиях 4.10.1 и 5.5.2.
CVE-2026-25490Craft Commerce - это платформа электронной коммерции для Craft CMS. В версиях от 4.0.0-RC1 до 4.10.0 и от 5.0.0 до 5.5.1, сохраненная уязвимость XSS в Craft Commerce позволяет злоумышленникам выполнять вредоносный JavaScript в браузере администратора. Это происходит потому, что поле «Адресная линия 1» в местах инвентаризации не дезинфицируется должным образом перед отображением в панели администратора. Эта проблема была исправлена в версиях 4.10.1 и 5.5.2.
CVE-2026-25489Craft Commerce - это платформа электронной коммерции для Craft CMS. В версиях от 4.0.0-RC1 до 4.10.0 и от 5.0.0 до 5.5.1, сохраненная уязвимость XSS в Craft Commerce позволяет злоумышленникам выполнять вредоносный JavaScript в браузере администратора. Это происходит потому, что поля «Названия и описание» в налоговых зонах не продезинфекции должным образом перед отображениями в панели администратора. Эта проблема была исправлена в версиях 4.10.1 и 5.5.2.
CVE-2026-25488Craft Commerce - это платформа электронной коммерции для Craft CMS. В версиях от 4.0.0-RC1 до 4.10.0 и от 5.0.0 до 5.5.1, сохраненная уязвимость XSS в Craft Commerce позволяет злоумышленникам выполнять вредоносный JavaScript в браузере администратора. Это происходит потому, что поля Налоговых Категорий (Названия и описание) в разделе «Актерия управления магазином» не продезинфекции должным образом не продезинфекцию перед отображениями в панели администратора. Эта проблема была исправлена в версиях 4.10.1 и 5.5.2.
CVE-2026-25487Craft Commerce - это платформа электронной коммерции для Craft CMS. В версиях от 4.0.0-RC1 до 4.10.0 и от 5.0.0 до 5.5.1, сохраненная уязвимость XSS в Craft Commerce позволяет злоумышленникам выполнять вредоносный JavaScript в браузере администратора. Это происходит потому, что поле «Названия» налоговых ступенек в разделе «Найм» в разделе «Рукой» не продезинфекции должным образом не продезинфекции перед отображениями в панели администратора. Эта проблема была исправлена в версиях 4.10.1 и 5.5.2.
CVE-2026-25486Craft Commerce - это платформа электронной коммерции для Craft CMS. От версии 5.0.0 до 5.5.1, сохраненная уязвимость XSS в Craft Commerce позволяет злоумышленникам выполнять вредоносный JavaScript в браузере администратора. Это происходит потому, что поле «Названия способов доставки» в разделе «Рукой Управление магазином» не продезинфекции должным образом не продезинфекции перед отображениями в панели администратора. Этот вопрос был исправлен в версии 5.5.2.
CVE-2026-29176Craft Commerce - это платформа электронной коммерции для Craft CMS. До 5.5.3 на странице «Места» — «Места» — «Мести инвентаризации» существует сохраненная уязвимость XSS. Поле «Имя» отображается без надлежащего выхода HTML, что позволяет злоумышленнику выполнять произвольный JavaScript. Этот XSS запускается, когда администратор (или пользователь с разрешениями на редактирование продукта) создает или редактирует вариант продукта. Эта уязвимость зафиксирована в пункте 5.5.3.
CVE-2026-25484Craft Commerce - это платформа электронной коммерции для Craft CMS. В версиях от 4.0.0-RC1 до 4.10.0 и от 5.0.0 до 5.5.1 есть Хранимый XSS через названия типа продукта. Имя не продезинфицируется при отображении в настройках пользовательских разрешений. Уязвимый ввод (источник) находится в торговле (настройки типа продукта), но раковина находится в настройках разрешений пользователей CMS. Эта проблема была исправлена в версиях 4.10.1 и 5.5.2.
CVE-2026-29177Craft Commerce - это платформа электронной коммерции для Craft CMS. До 4.10.2 и 5.5.3 в деталях Craft Commerce Order существует скрытая уязвимость Cross-Site Scripting (XSS). Вредоносный JavaScript можно вводить с помощью способа доставки имени, ссылки заказа или имени сайта. Когда пользователь открывает данные заказа выдвижение через двухкратный щелчок на странице индекса заказа, выполняется вложенная положная нагрузка. Эта уязвимость зафиксирована в пунктах 4.10.2 и 5.5.3.
CVE-2026-29173Craft Commerce - это платформа электронной коммерции для Craft CMS. До 4.10.2 и 5.5.3 сохраняется уязвимость XSS, когда пользователь пытается обновить статус заказа из таблицы коммерческих заказов. Имя статуса заказа отображается без надлежащего побега, что позволяет выполнять скрипт. Эта уязвимость зафиксирована в пунктах 4.10.2 и 5.5.3.
CVE-2026-32270Craft Commerce - это платформа электронной коммерции для Craft CMS. В версиях 4.0.0-4.10.2 и 5.0.0-5.5.4 PaymentsController::actionPay раскрывает некоторые данные о заказах неаудовлетворенным пользователям, когда указан номер заказа и проверка электронной почты не выполняется во время анонимного платежа. Ответ на ошибку JSON включает в себя серийный объект (заказ), который содержит некоторые чувствительные поля, такие как электронная почта клиента, адрес доставки и платежный адрес. Платеж по интерфейсу, платный поток форс-фей (по номеру) до получения разрешения полностью принудительного заказаLoad по номеру. Эта проблема исправлена в версиях 4.11.0 и 5.6.0.