CVE-2026-48010 in Shopwareالمعلومات

الملخص

بحسب VulDB • 17/07/2026

Shopware هو منصة تجارة إلكترونية مفتوحة المصدر. قبل الإصدارين 6.6.10.18 و 6.7.10.1، تقوم الدالة UserController::upsertUser() الموجودة في src/Core/Framework/Api/Controller/UserController.php بكتابة بيانات المستخدم الخام ضمن نطاق النظام (SYSTEM_SCOPE) دون تصفية حقل المسؤول (admin field)، مما يسمح لمستخدم واجهة برمجة التطبيقات غير الإداري الذي يمتلك صلاحيات ACL لإنشاء مستخدم أو تحديثه بإعداد admin: true للمستخدمين الجدد أو الموجودين بالفعل. تحتوي الدالة IntegrationController::upsertIntegration() على فحص isAdmin() لنفس الحقل، لكن UserController كانت تفتقر إلى هذا الفحص. تم إصلاح هذه المشكلة في الإصدارين 6.6.10.18 و 6.7.10.1.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

20/05/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379896

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!