Spree — это решение для электронной коммерции с открытым исходным кодом, созданное с помощью Ruby on Rails. До версий 5.0.8, 5.1.10, 5.2.7 и 5.3.2 неаутентифицированные пользователи могут просматривать выполненные гостевые заказы по идентификатору заказа. Эта проблема может привести к раскрытию личных данных гостевых пользователей (включая имена, адреса и номера телефонов).
Эта проблема исправлена в версиях 5.0.8, 5.1.10, 5.2.7 и 5.3.2.
Показать оригинальное описание (EN)
Spree is an open source e-commerce solution built with Ruby on Rails. Prior to versions 5.0.8, 5.1.10, 5.2.7, and 5.3.2, unauthenticated users can view completed guest orders by Order ID. This issue may lead to disclosure of PII of guest users (including names, addresses and phone numbers). This issue has been patched in versions 5.0.8, 5.1.10, 5.2.7, and 5.3.2.
Характеристики атаки
Последствия
Строка CVSS v4.0