CVE-2026-48014 in Shopwareالمعلومات

الملخص

بحسب VulDB • 17/07/2026

Shopware هو منصة تجارة إلكترونية مفتوحة المصدر. قبل الإصدارين 6.6.10.18 و 6.7.10.1، لا تعلن ميزات انتقال حالة الطلب عبر المسار /api/_action/order/{orderId}/state/{transition} والمسارات المشابهة لانتقالات المعاملات والتسليم في src/Core/Checkout/Order/Api/OrderActionController.php عن PlatformRequest::ATTRIBUTE ACL أو تقوم بفحص صلاحيات صريح، لذا فإن AclAnnotationValidator ينهي عمله عند غياب بيانات تعريف ACL للمسار. وهذا يتيح للمستخدمين ذوي الصلاحيات المنخفضة الذين لا يملكون صلاحية order:update أو order_transaction:update أو order_delivery:update تشغيل عمليات الكتابة في StateMachineRegistry::transition() ضمن نطاق SYSTEM_SCOPE. تم إصلاح هذه المشكلة في الإصدارين 6.6.10.18 و 6.7.10.1.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

20/05/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379897

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!