php · craftcms/commerceAtenção

craftcms/commerce: RateLimiter ignorado em carrinhos baseados em sessão

O RateLimiter do CartController só é ativado quando o parâmetro 'number' é fornecido, deixando o carrinho baseado em sessão sem limitação de taxa para submissõe

20 Jun 2026Leitura 1 minSeveridade: agende este mês

O que mudou

O RateLimiter do CartController só é ativado quando o parâmetro 'number' é fornecido, deixando o carrinho baseado em sessão sem limitação de taxa para submissões de cupons.

Quem isso afeta

Todas as instalações do Craft Commerce que usam códigos de cupom em carrinhos baseados em sessão.

O que fazer hoje

Aplique limitação de taxa incondicionalmente em actionUpdateCart, independentemente da presença de 'number'.

A esteira

Coletado→ Auditado→ Redigido→ Publicado

Fonte

GitHub Advisory · craftcms/commerce

craftcms/commerce: RateLimiter ignorado em carrinhos baseados em sessão

O que mudou

Quem isso afeta

O que fazer hoje

Mais sobre craftcms/commerce

jleehr/canto-saas-api: Falha de codificação em buildRequestUrl permite path traversal

jleehr/canto-saas-api: OAuth2 token request agora usa POST body e mensagens de exceção sanitizadas