CVE-2026-31819

Sylius is an Open Source eCommerce Framework on Symfony. CurrencySwitchController::switchAction(), ImpersonateUserController::impersonateAction() and StorageBasedLocaleSwitcher::handle() use the HTTP Referer header directly when redirecting. The attack requires the victim to click a legitimate application link placed on an attacker-controlled page. The browser automatically sends the attacker's site as the Referer, and the application redirects back to it. This can be used for phishing or credential theft, as the redirect originates from a trusted domain. The severity varies by endpoint; public endpoints require no authentication and are trivially exploitable, while admin-only endpoints require an authenticated session but remain vulnerable if an admin follows a link from an external source such as email or chat. The issue is fixed in versions: 1.9.12, 1.10.16, 1.11.17, 1.12.23, 1.13.15, 1.14.18, 2.0.16, 2.1.12, 2.2.3 and above.

CVSS v3 6.1 MEDIUM

6.1^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 2.7

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact LOW

Integrity Impact LOW

Availability Impact NONE

Scope CHANGED

References

Link	Resource
https://github.com/Sylius/Sylius/security/advisories/GHSA-9ffx-f77r-756w	Mitigation Vendor Advisory

Configurations

Configuration 1 (hide)

OR	cpe:2.3:a:sylius:sylius::::::::
	cpe:2.3:a:sylius:sylius::::::::
	cpe:2.3:a:sylius:sylius::::::::
	cpe:2.3:a:sylius:sylius::::::::
	cpe:2.3:a:sylius:sylius::::::::
	cpe:2.3:a:sylius:sylius::::::::
	cpe:2.3:a:sylius:sylius::::::::
	cpe:2.3:a:sylius:sylius::::::::
	cpe:2.3:a:sylius:sylius::::::::

History

11 Mar 2026, 20:14

Type	Values Removed	Values Added
First Time		Sylius Sylius sylius
References	~~() https://github.com/Sylius/Sylius/security/advisories/GHSA-9ffx-f77r-756w -~~	() https://github.com/Sylius/Sylius/security/advisories/GHSA-9ffx-f77r-756w - Mitigation, Vendor Advisory
CPE		cpe:2.3:a:sylius:sylius::::::::
CVSS	v2 : ~~unknown~~ v3 : ~~unknown~~	v2 : unknown v3 : 6.1

11 Mar 2026, 13:52

Type	Values Removed	Values Added
Summary		(es) Sylius es un Framework de eCommerce de Código Abierto en Symfony. CurrencySwitchController::switchAction(), ImpersonateUserController::impersonateAction() y StorageBasedLocaleSwitcher::handle() usan el encabezado HTTP Referer directamente al redirigir. El ataque requiere que la víctima haga clic en un enlace de aplicación legítimo colocado en una página controlada por el atacante. El navegador envía automáticamente el sitio del atacante como Referer, y la aplicación redirige de vuelta a él. Esto puede usarse para phishing o robo de credenciales, ya que la redirección se origina de un dominio de confianza. La severidad varía según el endpoint; los endpoints públicos no requieren autenticación y son trivialmente explotables, mientras que los endpoints solo para administradores requieren una sesión autenticada pero permanecen vulnerables si un administrador sigue un enlace de una fuente externa como correo electrónico o chat. El problema está solucionado en las versiones: 1.9.12, 1.10.16, 1.11.17, 1.12.23, 1.13.15, 1.14.18, 2.0.16, 2.1.12, 2.2.3 y superiores.

10 Mar 2026, 22:16

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-03-10 22:16

Updated : 2026-03-11 20:14

NVD link : CVE-2026-31819

Mitre link : CVE-2026-31819

CVE.ORG link : CVE-2026-31819

JSON object : View

Products Affected

sylius

sylius

CWE

CWE-601

URL Redirection to Untrusted Site ('Open Redirect')

6.1 /10