CRITICAL✓ PATCH🇬🇧 English

CVE-2011-10026

RCE via command injection w API wyszukiwania Spreecommerce Spree

CVSS 9.3v4.0pub. 2025-08-20upd. 2025-11-25

Wersje Spreecommerce Spree poprzedzające 0.50.x zawierają podatność umożliwiającą zdalne wykonanie poleceń (RCE) poprzez brak odpowiedniej sanitacji danych wejściowych w funkcji wyszukiwania API. Atakujący niewymagający uwierzytelnienia może wykonać dowolne polecenia systemowe na serwerze.

Pokaż oryginał (EN)

Spreecommerce versions prior to 0.50.x contain a remote command execution vulnerability in the API's search functionality. Improper input sanitation allows attackers to inject arbitrary shell commands via the search[instance_eval] parameter, which is dynamically invoked using Ruby’s send method. This flaw enables unauthenticated attackers to execute commands on the server.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej sanitacji parametru search[instance_eval] przekazywanego do funkcji wyszukiwania API. Wartość tego parametru jest dynamicznie wywoływana przy użyciu metody send języka Ruby, co pozwala na wstrzyknięcie (command injection) i wykonanie dowolnego kodu powłoki systemowej. Mechanizm ten nie wymaga żadnego uwierzytelnienia, przez co exploit jest dostępny dla każdego zdalnego atakującego.

Skutki

Nieuwierzytelniony atakujący może wykonać dowolne polecenia systemowe na serwerze hostującym aplikację, co w praktyce oznacza możliwość pełnego przejęcia kontroli nad serwerem, kradzieży danych oraz dalszego ruchu w sieci wewnętrznej (lateral movement).

Mitygacja

Należy zaktualizować Spreecommerce Spree do wersji 0.50.x lub nowszej. Szczegółowe informacje o poprawkach bezpieczeństwa dostępne są w komunikacie producenta pod adresem wskazanym w referencjach (spreecommerce.com/blog/2011/04/19/security-fixes).

Kogo dotyczy

Spreecommerce Spree we wszystkich wersjach poprzedzających 0.50.x

Uwagi

Dla tej podatności publicznie dostępny jest moduł exploit w Metasploit Framework (modules/exploits/multi/http/spree_searchlogic_exec.rb) oraz wpis na Exploit-DB (ID: 17199), co znacząco obniża próg wejścia dla potencjalnych atakujących.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Spreecommerce Spree

    APP
    Spreecommerce
    < 0.50.1
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth BypassCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2011-10019CRITICAL10.0PL ✓ten sam produkt

RCE w Spreecommerce Spree — brak sanitizacji parametru wyszukiwania

CVE-2026-25758HIGH7.7ten sam produkt

Spree is an open source e-commerce solution built with Ruby on Rails. A critical IDOR vulnerability exists in ...

CVE-2026-25757HIGH7.7ten sam produkt

Spree is an open source e-commerce solution built with Ruby on Rails. Prior to versions 5.0.8, 5.1.10, 5.2.7, ...

CVE-2026-22589HIGH7.5ten sam produkt

Spree is an open source e-commerce solution built with Ruby on Rails. Prior to versions 4.10.2, 5.0.7, 5.1.9, ...

CVE-2020-26223HIGH7.7ten sam produkt

Spree is a complete open source e-commerce solution built with Ruby on Rails. In Spree from version 3.7 and be...