CVE-2026-25758

Nome do Software Vulnerável e Versões Afetadas Versões do Spree anteriores a 4.10.3 Versões do Spree anteriores a 5.0.8 Versões do Spree anteriores a 5.1.10 Versões do Spree anteriores a 5.2.7 Versões do Spree anteriores a 5.3.2

Descrição Existe uma vulnerabilidade IDOR no fluxo de checkout para convidados do Spree Commerce. Isso permite que um usuário convidado manipule parâmetros de ID de endereço e vincule endereços arbitrários de convidados ao seu pedido. Isso possibilita o acesso não autorizado às informações pessoalmente identificáveis (PII) de outros convidados, incluindo nomes, endereços e números de telefone. O problema contorna as verificações de validação de propriedade existentes e afeta todas as transações de checkout para convidados. A vulnerabilidade origina-se de uma validação de autorização incompleta na lógica de atribuição de endereço de checkout do Spree, especificamente na forma como parâmetros de ID simples (bill address id e ship address id) são manipulados sem a devida validação. A lógica de atribuição vulnerável reside nos setters bill address id= e ship address id= dentro do modelo spree/order/address book.rb. Esses setters verificam se address.user id == order.user id, o que avalia como verdadeiro para pedidos de convidados (nil == nil), contornando efetivamente a verificação de segurança pretendida. Os atributos permitidos em spree/permitted attributes.rb permitem bill address id e ship address id sem validação, e o processo de atualização do checkout em spree/order/checkout.rb aplica esses parâmetros diretamente ao modelo Order.

Recomendações Atualize para a versão 4.10.3 do Spree ou posterior. Atualize para a versão 5.0.8 do Spree ou posterior. Atualize para a versão 5.1.10 do Spree ou posterior. Atualize para a versão 5.2.7 do Spree ou posterior. Atualize para a versão 5.3.2 do Spree ou posterior.