CVE-2026-40887 [严重] | SQL Injection（Version 1.7.4 And Prior T…）

Vendure is an open-source headless commerce platform. Starting in version 1.7.4 and prior to versions 2.3.4, 3.5.7, and 3.6.2, an unauthenticated SQL injection vulnerability exists in the Vendure Shop API. A user-controlled query string parameter is interpolated directly into a raw SQL expression without parameterization or validation, allowing an attacker to execute arbitrary SQL against the database. This affects all supported database backends (PostgreSQL, MySQL/MariaDB, SQLite). The Admin API is also affected, though exploitation there requires authentication. Versions 2.3.4, 3.5.7, and 3.6.2 contain a patch. For those who are unable to upgrade immediately, Vendure has made a hotfix available that uses `RequestContextService.getLanguageCode` to validate the `languageCode` input at the boundary. This blocks injection payloads before they can reach any query. The hotfix replaces the existing `getLanguageCode` method in `packages/core/src/service/helpers/request-context/request-context.service.ts`. Invalid values are silently dropped and the channel's default language is used instead. The patched versions additionally convert the vulnerable SQL interpolation to a parameterized query as defense in depth.

#	日期	旧 EPSS 分数	新 EPSS 分数	变化（新 − 旧）
1	2026-06-15	7.70%	1.76%	-5.94%
2	2026-06-02	5.83%	7.70%	+1.88%
3	2026-05-23	—	5.83%	—

日期

旧 EPSS 分数

新 EPSS 分数

变化（新 − 旧）

2026-06-15

7.70%

1.76%

-5.94%

2026-06-02

5.83%

7.70%

+1.88%

2026-05-23

—

5.83%

—

底座分	版本	严重度	向量	可利用性	影响	分数来源
9.1	3.1	CRITICAL	`CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H` 点击展开攻击向量 (AV:N) 经互联网或企业内可路由网段即可从远端触达，攻击者不必出现在设备旁。攻击复杂度 (AC:L) 前置条件清晰，成功路径稳定，不依赖罕见竞态或苛刻环境。权限要求 (PR:N) 不必事先登录或提权，匿名会话也可能成为跳板。用户交互 (UI:N) 无需受害者点击链接、放行宏或安装软件，攻击链可自动走完。作用域 (S:U) 破坏局限在脆弱组件原本的安全权限与信任域之内。机密性影响 (C:H) 批量读取、导出或长期潜伏窃取机密数据，在实战上成立。完整性影响 (I:N) 对记录真实性与不可否认性的破坏可忽略。可用性影响 (A:H) 可造成长时间中断、关键事务无法完成，或伴随数据损毁导致难以自愈。	3.9	5.2	[email protected]

底座分

版本

严重度

向量

可利用性

影响

分数来源

9.1

3.1

CRITICAL

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H 点击展开

攻击向量 (AV:N): 经互联网或企业内可路由网段即可从远端触达，攻击者不必出现在设备旁。
攻击复杂度 (AC:L): 前置条件清晰，成功路径稳定，不依赖罕见竞态或苛刻环境。
权限要求 (PR:N): 不必事先登录或提权，匿名会话也可能成为跳板。
用户交互 (UI:N): 无需受害者点击链接、放行宏或安装软件，攻击链可自动走完。
作用域 (S:U): 破坏局限在脆弱组件原本的安全权限与信任域之内。
机密性影响 (C:H): 批量读取、导出或长期潜伏窃取机密数据，在实战上成立。
完整性影响 (I:N): 对记录真实性与不可否认性的破坏可忽略。
可用性影响 (A:H): 可造成长时间中断、关键事务无法完成，或伴随数据损毁导致难以自愈。

3.9

5.2

[email protected]

CVE-2026-40887 的影响软件 / 配置

厂商	产品	版本	原始 CPE
库中暂无影响产品。

CVE-2026-40887 的参考链接

URL	标签
https://github.com/vendurehq/vendure/security/advisories/GHSA-9pp3-53p2-ww9v

URL

标签

https://github.com/vendurehq/vendure/security/advisories/GHSA-9pp3-53p2-ww9v

CVE-2026-40887 | @vendure/core has a SQL Injection vulnerability

CVE-2026-40887 的 EPSS（利用预测评分）

CVE-2026-40887 的 CVSS 指标

CVE-2026-40887 的弱点枚举

CVE-2026-40887 的 GitHub 安全公告

CVE-2026-40887 的影响软件 / 配置

CVE-2026-40887 的参考链接