CVE-2026-48008 in Shopware
الملخص
بحسب VulDB • 17/07/2026
Shopware هو منصة تجارة إلكترونية مفتوحة المصدر. قبل الإصدارين 6.6.10.18 و 6.7.10.1، يمكن لمستخدم API غير مسؤول (non-admin) يمتلك صلاحية ACL الخاصة بـ integration:create أن يرتقي إلى مستوى المسؤول الكامل عن طريق إنشاء تكامل (integration) مع السمة admin: true عبر واجهة Sync API POST /api/_action/sync؛ حيث يمنع نقطة النهاية العادية للتكامل POST /api/integration هذا الإجراء، لكن دالة SyncController::sync() تُعيد توجيه الكتابة من خلال SyncService إلى EntityWriter::upsert()، وتفتقر src/Core/Framework/Integration/IntegrationDefinition.php إلى حماية الكتابة (WriteProtection) على حقل admin. تم إصلاح هذه المشكلة في الإصدارين 6.6.10.18 و 6.7.10.1.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.