Spree Commerce 1.0.x hasta la versión 1.3.2 permite a administradores autenticados remotos instanciar objetos Ruby arbitrarios y ejecutar comandos arbitrarios a través de el parámetro (1) payment_method en core/app/controllers/spree/admin/payment_methods_controller.rb; y (2) promotion_action en promotion_actions_controller.rb, (3) promotion_rule en promotion_rules_controller.rb y (4) calculator_type en promotions_controller.rb en promo/app/controllers/spree/admin/, relacionado con la utilización insegura de la función constantize.

Spree Commerce 1.0.x hasta v1.3.2 permite que los administradores remotos autenticados puedan crear instancias de objetos Ruby de su elección y ejecutar comandos de su elección a través del parámetro (1) payment_method para core/app/controllers/juerga/admin/payment_methods_controller.rb, y el (2) parámetro promotion_action para promotion_actions_controller.rb, (3) parámetro promotion_rule de promotion_rules_controller.rb, y el parámetro (4) calculator_type de promotions_controller.rb en promo/app/controllers/spree/admin, relacionados con el uso inseguro de la función constantize.