Vulnerabilidad en Craft (CVE-2026-29172)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
10/03/2026
Última modificación:
11/03/2026
Descripción
Craft Commerce es una plataforma de comercio electrónico para Craft CMS. Antes de las versiones 4.10.2 y 5.5.3, Craft Commerce es vulnerable a inyecciones SQL en el punto final de la tabla de productos adquiribles. El parámetro de ordenación se divide mediante | y la primera parte (nombre de columna) se pasa directamente como clave de matriz a orderBy() sin validación de lista blanca. El generador de consultas de Yii2 NO escapa las claves de matriz, lo que permite a un atacante autenticado inyectar SQL arbitrario en la cláusula ORDER BY. Esta vulnerabilidad se ha corregido en las versiones 4.10.2 y 5.5.3.
Impacto
Puntuación base 4.0
8.70
Gravedad 4.0
ALTA
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:craftcms:craft_commerce:*:*:*:*:*:craft_cms:*:* | 4.0.0 (incluyendo) | 4.10.2 (excluyendo) |
| cpe:2.3:a:craftcms:craft_commerce:*:*:*:*:*:craft_cms:*:* | 5.0.0 (incluyendo) | 5.5.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/craftcms/commerce/commit/b231b920b73db023e81e5b261b894d73e865c276
- https://github.com/craftcms/commerce/commit/e4e0f4107cd895d29290523637f077fe280407b1
- https://github.com/craftcms/commerce/security/advisories/GHSA-j3x5-mghf-xvfw
- https://github.com/craftcms/commerce/security/advisories/GHSA-j3x5-mghf-xvfw