Embedded Files
Dit artikel heeft betrekking op de APSB26-49 patch die op 12 mei 2026 is uitgebracht.
Onderdelen om te testen binnen deze patch
Onderdelen om te testen binnen deze patch
Nadat de patch beschikbaar is gesteld op de staging wordt het volgende aangeraden om te testen. Hierbij zijn punt 1 en 2 het meest relevant omdat die direct invloed hebben op de order-flow.
Belangrijkste onderdelen:
1. Order plaatsen voor ingelogde klanten
Plaats een order als ingelogde klant en controleer of je de order kunt afronden.
2. Order plaatsen voor niet-ingelogde klanten
Plaats een order als niet-ingelogde klant en controleer of je de order kunt afronden.
Technische informatie over de patch
Technische informatie over de patch
PolyShell is fixed in 2.4.9 only. The patch releases ship some hardening near the custom-option upload path, but the actual fix only landed in 2.4.9. On vulnerable configurations, the patch releases still let the attack through.
GraphQL endpoint can no longer be crashed with oversized or deeply nested queries (DoS)
Product import can no longer be tricked into fetching files from arbitrary URLs (SSRF)
Admin XSS fixed in several confirm dialogs (PayPal, customer "force sign-in", store pickup) where translated text was emitted unescaped into JavaScript
XSS in product attribute output: no longer accepts javascript​:/data:/vbscript: URIs or inline event handlers
XSS in the inline translation tool: translated strings can no longer carry alert/eval/innerHTML payloads
IDOR in customer reviews: viewing a review now verifies it belongs to the requesting customer
Guest cart token wiped on guest-to-customer conversion (prevents post-login cart hijack)
Widget template paths now validated against the allow-list
Page Builder iframe host check fixed (suffix-confusion bug in the allow-list)
REST API HTTP parameter pollution fix: duplicate params differing only in case or underscores are rejected
Bundled GraphQL library updated to clear its own published advisories
Report abuse