CVE-2026-22589

Nome do Software Vulnerável e Versões Afetadas Versões do Spree anteriores a 4.10.2 Versões do Spree anteriores a 5.0.7 Versões do Spree anteriores a 5.1.9 Versões do Spree anteriores a 5.2.5

Descrição O Spree é uma solução de comércio eletrônico de código aberto construída com Ruby on Rails. Existe uma vulnerabilidade de Insecure Direct Object Reference (IDOR) não autenticada, permitindo que um atacante acesse informações de endereço de convidados sem credenciais válidas ou cookies de sessão. O problema afeta a API do Spree. Uma IDOR ocorre quando uma aplicação fornece acesso direto a objetos com base em entradas fornecidas pelo usuário. Neste caso, um atacante pode manipular a entrada para acessar dados pertencentes a outros usuários. O componente vulnerável permite acesso às informações de endereço de convidados.

Recomendações Atualize o Spree para a versão 4.10.2 ou posterior. Atualize o Spree para a versão 5.0.7 ou posterior. Atualize o Spree para a versão 5.1.9 ou posterior. Atualize o Spree para a versão 5.2.5 ou posterior.