CVE-2026-22588

Nome do Software Vulnerável e Versões Afetadas Versões do Spree anteriores a 4.10.2 Versões do Spree anteriores a 5.0.7 Versões do Spree anteriores a 5.1.9 Versões do Spree anteriores a 5.2.5

Descrição Spree é uma solução de comércio eletrônico de código aberto construída com Ruby on Rails. Existe uma vulnerabilidade de Referência Direta a Objeto Insegura (IDOR) Autenticada que permite que um usuário autenticado acesse informações de endereço pertencentes a outros usuários. Isso ocorre ao modificar um pedido existente e manipular identificadores de endereço dentro da requisição. O servidor back-end processa incorretamente essas referências, associando endereços de outros usuários ao pedido do atacante e retornando-os na resposta. O problema envolve a manipulação de identificadores de endereço em uma requisição para acessar dados de outros usuários.

Recomendações Atualize o Spree para a versão 4.10.2 ou posterior. Atualize o Spree para a versão 5.0.7 ou posterior. Atualize o Spree para a versão 5.1.9 ou posterior. Atualize o Spree para a versão 5.2.5 ou posterior.