CVE-2026-48010 in Shopware
الملخص
بحسب VulDB • 17/07/2026
Shopware هو منصة تجارة إلكترونية مفتوحة المصدر. قبل الإصدارين 6.6.10.18 و 6.7.10.1، تقوم الدالة UserController::upsertUser() الموجودة في src/Core/Framework/Api/Controller/UserController.php بكتابة بيانات المستخدم الخام ضمن نطاق النظام (SYSTEM_SCOPE) دون تصفية حقل المسؤول (admin field)، مما يسمح لمستخدم واجهة برمجة التطبيقات غير الإداري الذي يمتلك صلاحيات ACL لإنشاء مستخدم أو تحديثه بإعداد admin: true للمستخدمين الجدد أو الموجودين بالفعل. تحتوي الدالة IntegrationController::upsertIntegration() على فحص isAdmin() لنفس الحقل، لكن UserController كانت تفتقر إلى هذا الفحص. تم إصلاح هذه المشكلة في الإصدارين 6.6.10.18 و 6.7.10.1.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.