CVE-2026-40887 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Shop API 中 `languageCode` 参数未参数化，直接拼入 SQL。💥 **后果**：导致 **未经身份验证的 SQL 注入**，数据库可能被拖库或遭破坏。

🔍 **CWE-89**：SQL 注入。📍 **缺陷点**：`ProductService.findOneBySlug` 方法中，用户控制的查询字符串参数被直接插入原始 SQL `CASE` 表达式，缺乏验证。

🛡️ **受影响组件**：Vendure (开源电商框架)。📦 **高危版本**：1.7.4 ~ 2.3.4、3.5.7 之前、3.6.2 之前。

🕵️ **黑客能力**：执行任意 SQL 命令。📊 **数据风险**：全库数据泄露（C:H）、服务拒绝服务（A:H）。无需登录即可操作。

🚪 **门槛极低**：CVSS 显示 **无需认证 (PR:N)**、**无需用户交互 (UI:N)**、**攻击复杂度低 (AC:L)**。远程直接利用。

💻 **有现成 PoC**：ProjectDiscovery 已提供 Nuclei 模板 (`CVE-2026-40887.yaml`)。GitHub 安全公告已确认。

🔎 **自查方法**：检查 Shop API 接口，看 `languageCode` 参数是否直接拼接进 SQL。使用 Nuclei 扫描模板快速检测。

🛠️ **官方修复**：已发布安全公告 (GHSA-9pp3-53p2-ww9v)。建议升级至 **2.3.4+**、**3.5.7+** 或 **3.6.2+**。

⚠️ **临时规避**：若无法升级，需在代码层对 `languageCode` 进行严格白名单校验或强制参数化查询，禁止直接字符串拼接。

🔥 **优先级：极高**。CVSS 分数高，无需认证即可远程利用，直接威胁数据完整性和可用性，建议 **立即修复**。