Vulnerabilidad en spree (CVE-2026-22588)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/01/2026
Última modificación:
02/02/2026
Descripción
Spree es una solución de comercio electrónico de código abierto construida con Ruby on Rails. Antes de las versiones 4.10.2, 5.0.7, 5.1.9 y 5.2.5, se identificó una vulnerabilidad de Referencia Directa Insegura a Objeto Autenticada (IDOR) que permite a un usuario autenticado recuperar la información de dirección de otros usuarios modificando un pedido existente. Al editar un pedido que poseen legítimamente y manipular los identificadores de dirección en la solicitud, el servidor de backend acepta y procesa referencias a direcciones que pertenecen a otros usuarios, asociando posteriormente esas direcciones con el pedido del atacante y devolviéndolas en la respuesta. Este problema ha sido parcheado en las versiones 4.10.2, 5.0.7, 5.1.9 y 5.2.5.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:spreecommerce:spree:*:*:*:*:*:*:*:* | 4.10.2 (excluyendo) | |
| cpe:2.3:a:spreecommerce:spree:*:*:*:*:*:*:*:* | 5.0.0 (incluyendo) | 5.0.7 (excluyendo) |
| cpe:2.3:a:spreecommerce:spree:*:*:*:*:*:*:*:* | 5.1.0 (incluyendo) | 5.1.9 (excluyendo) |
| cpe:2.3:a:spreecommerce:spree:*:*:*:*:*:*:*:* | 5.2.0 (incluyendo) | 5.2.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/spree/spree/commit/02acabdce2c5f14fd687335b068d901a957a7e72
- https://github.com/spree/spree/commit/17e78a91b736b49dbea8d1bb1223c284383ee5f3
- https://github.com/spree/spree/commit/b409c0fd327e7ce37f63238894670d07079eefe8
- https://github.com/spree/spree/commit/d3f961c442e0015661535cbd6eb22475f76d2dc7
- https://github.com/spree/spree/security/advisories/GHSA-g268-72p7-9j6j