CVE-2026-32271

Nome do Software Vulnerável e Versões Afetadas Craft Commerce versões anteriores a 4.10.3 Craft Commerce versões anteriores a 5.5.5

Descrição Uma injeção de SQL existe no widget Commerce TotalRevenue. Isso permite que usuários autenticados do painel de controle alcancem a execução remota de código por meio de uma cadeia de quatro etapas. O problema ocorre quando configurações de widget não sanitizadas são interpoladas em expressões SQL, utilizando o suporte de consulta de múltiplas instruções padrão do PDO para injetar um objeto PHP serializado na tabela de fila. Quando o consumidor da fila processa a tarefa, uma chamada unserialize() irrestrita no yii2-queue instancia uma cadeia de gadgets GuzzleHttp FileCookieJar, onde o método destruct() grava um webshell PHP no webroot do servidor. O processamento da fila é acionado por meio de um endpoint não autenticado.

Recomendações Atualize para a versão 4.10.3. Atualize para a versão 5.5.5.