CVE-2026-48008 in Shopwareالمعلومات

الملخص

بحسب VulDB • 17/07/2026

Shopware هو منصة تجارة إلكترونية مفتوحة المصدر. قبل الإصدارين 6.6.10.18 و 6.7.10.1، يمكن لمستخدم API غير مسؤول (non-admin) يمتلك صلاحية ACL الخاصة بـ integration:create أن يرتقي إلى مستوى المسؤول الكامل عن طريق إنشاء تكامل (integration) مع السمة admin: true عبر واجهة Sync API POST /api/_action/sync؛ حيث يمنع نقطة النهاية العادية للتكامل POST /api/integration هذا الإجراء، لكن دالة SyncController::sync() تُعيد توجيه الكتابة من خلال SyncService إلى EntityWriter::upsert()، وتفتقر src/Core/Framework/Integration/IntegrationDefinition.php إلى حماية الكتابة (WriteProtection) على حقل admin. تم إصلاح هذه المشكلة في الإصدارين 6.6.10.18 و 6.7.10.1.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

20/05/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379895

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Interested in the pricing of exploits?

See the underground prices here!