CRITICAL🇬🇧 English

CVE-2024-22406

SQL injection w API wyszukiwania Shopware przez pole 'name' agregacji

CVSS 9.3v3.1pub. 2024-01-16upd. 2024-11-21

Shopware — popularna platforma e-commerce — zawiera krytyczną podatność SQL injection w polu 'name' obiektu 'aggregations' w API wyszukiwania. Błąd umożliwia nieuwierzytelnionemu atakującemu zdalnie wydobyć dane z bazy danych aplikacji bez konieczności posiadania jakichkolwiek uprawnień.

Pokaż oryginał (EN)

Shopware is an open headless commerce platform. The Shopware application API contains a search functionality which enables users to search through information stored within their Shopware instance. The searches performed by this function can be aggregated using the parameters in the “aggregations” object. The ‘name’ field in this “aggregations” object is vulnerable SQL-injection and can be exploited using time-based SQL-queries. This issue has been addressed and users are advised to update to Shopware 6.5.7.4. For older versions of 6.1, 6.2, 6.3 and 6.4 corresponding security measures are also available via a plugin. For the full range of functions, we recommend updating to the latest Shopware version.

🤖 Analiza AI
Jak działa

Funkcja wyszukiwania w API Shopware pozwala agregować wyniki za pomocą parametrów przekazywanych w obiekcie 'aggregations'. Pole 'name' w tym obiekcie nie jest odpowiednio sanityzowane, co pozwala na wstrzyknięcie złośliwych zapytań SQL. Atakujący może wykorzystać technikę time-based SQL injection — manipulując czasem odpowiedzi serwera — do stopniowego odczytywania zawartości bazy danych bez konieczności bezpośredniej odpowiedzi z błędem.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych przechowywanych w bazie danych instancji Shopware, w tym danych klientów, zamówień i konfiguracji. Wektor sieciowy bez wymaganego uwierzytelnienia znacząco zwiększa zasięg potencjalnego ataku.

Mitygacja

Należy zaktualizować Shopware do wersji 6.5.7.4 lub nowszej. Dla starszych gałęzi (6.1, 6.2, 6.3, 6.4) producent udostępnił odpowiednie zabezpieczenia w formie pluginu — należy go zainstalować zgodnie z dokumentacją producenta. Zalecana jest migracja do najnowszej wersji Shopware.

Kogo dotyczy

Shopware 6 w wersjach 6.1, 6.2, 6.3, 6.4 oraz 6.5.x przed 6.5.7.4

Uwagi

Podatność dotyczy wyłącznie endpointów API — instancje z wyłączonym lub odpowiednio odizolowanym API mogą być mniej narażone. Szczegóły opublikowano w GitHub Security Advisory GHSA-qmp9-2xwj-m6m9.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L
  • Shopware

    APP
    Shopware
    < 6.5.7.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2023-22731CRITICAL9.9ten sam produkt

Shopware is an open source commerce platform based on Symfony Framework and Vue js. In a Twig environment **wi...

CVE-2021-32711CRITICAL9.1ten sam produkt

Shopware is an open source eCommerce platform. Versions prior to 6.3.5.1 may leak of information via Store-API...

CVE-2016-3109CRITICAL9.8ten sam produkt

The backend/Login/load/ script in Shopware before 5.1.5 allows remote attackers to execute arbitrary code.

CVE-2026-31887HIGH8.9ten sam produkt

Shopware is an open commerce platform. Prior to 6.7.8.1 and 6.6.10.15, an insufficient check on the filter typ...

CVE-2026-31889HIGH8.9ten sam produkt

Shopware is an open commerce platform. Prior to 6.6.10.15 and 6.7.8.1, a vulnerability in the Shopware app reg...

CVE-2024-22406 — SQL injection w API wyszukiwania Shopware przez pole 'name' agregacji — CRITICAL 9.3 | CVEbaza.pl