CVE-2026-25757

Nome do Software Vulnerável e Versões Afetadas Versões do Spree anteriores a 5.0.8 Versões do Spree anteriores a 5.1.10 Versões do Spree anteriores a 5.2.7 Versões do Spree anteriores a 5.3.2

Descrição O Spree, uma solução de comércio eletrônico de código aberto, contém uma falha na qual usuários não autenticados podem visualizar pedidos de convidados concluídos usando o ID do pedido. Isso pode levar à divulgação de Informações Pessoalmente Identificáveis (PII) de usuários convidados, incluindo nomes, endereços e números de telefone. O problema se deve à ação OrdersController#show, que permite a consulta do pedido por número sem exigir o token associado ao pedido. A função authorize access não aplica corretamente a autorização para pedidos de convidados. Um atacante com um ID de pedido vazado, ou por meio de força bruta, pode acessar os detalhes do pedido por meio do endpoint da API /orders/{id}. Os IDs dos pedidos são gerados de forma segura, mas possuem entropia relativamente baixa, o que pode tornar viáveis ataques de força bruta.

Recomendações Versões anteriores a 5.0.8 devem ser atualizadas para a versão 5.0.8 ou posterior. Versões anteriores a 5.1.10 devem ser atualizadas para a versão 5.1.10 ou posterior. Versões anteriores a 5.2.7 devem ser atualizadas para a versão 5.2.7 ou posterior. Versões anteriores a 5.3.2 devem ser atualizadas para a versão 5.3.2 ou posterior.