Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

CVE-2026-31824

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-362 Ejecución concurrente utilizando recursos compartidos con una incorrecta sincronización (Condición de carrera)
Fecha de publicación:
10/03/2026
Última modificación:
11/03/2026

Descripción

Sylius es un framework de comercio electrónico de Código Abierto sobre Symfony. Se descubrió una condición de carrera Time-of-Check To Time-of-Use (TOCTOU) en la aplicación del límite de uso de promociones. La misma clase de vulnerabilidad afecta el límite de uso de promociones (el contador global de uso en las entidades de Promoción), el límite de uso de cupones (el contador global de uso en las entidades de PromotionCoupon) y el límite de uso de cupones por cliente (el recuento de canjes por cliente en las entidades de PromotionCoupon). En los tres casos, la verificación de elegibilidad lee el contador de uso (o el recuento de pedidos) de una entidad Doctrine en memoria durante la validación, mientras que el incremento de uso real en OrderPromotionsUsageModifier ocurre más tarde durante la finalización del pedido, sin bloqueo a nivel de base de datos ni operaciones atómicas entre las dos fases. Debido a que Doctrine vacía un valor absoluto (SET used = 1) en lugar de un incremento atómico (SET used = used + 1), y debido a que las entidades afectadas carecen de bloqueo optimista, todas las solicitudes concurrentes leen los mismos recuentos de uso obsoletos y pasan las verificaciones de elegibilidad simultáneamente. Un atacante puede explotar esto preparando múltiples carritos con la misma promoción o cupón de uso limitado y enviando solicitudes PATCH /api/v2/shop/orders/{token}/complete simultáneas. Todas las solicitudes pasan las verificaciones del límite de uso y se completan con éxito, permitiendo que una promoción o cupón de un solo uso sea canjeado un número arbitrario de veces. El límite por cliente puede ser eludido de la misma manera por un solo cliente que complete múltiples pedidos concurrentemente. No se requiere autenticación para explotar esta vulnerabilidad. Esto puede llevar a una pérdida financiera directa a través del canje ilimitado de promociones de uso limitado y cupones de descuento. El problema está solucionado en las versiones: 1.9.12, 1.10.16, 1.11.17, 1.12.23, 1.13.15, 1.14.18, 2.0.16, 2.1.12, 2.2.3 y superiores.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.20 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x
8.20
Gravedad 3.x
ALTA

Referencias a soluciones, herramientas e información