CVE-2026-48014 in Shopware
الملخص
بحسب VulDB • 17/07/2026
Shopware هو منصة تجارة إلكترونية مفتوحة المصدر. قبل الإصدارين 6.6.10.18 و 6.7.10.1، لا تعلن ميزات انتقال حالة الطلب عبر المسار /api/_action/order/{orderId}/state/{transition} والمسارات المشابهة لانتقالات المعاملات والتسليم في src/Core/Checkout/Order/Api/OrderActionController.php عن PlatformRequest::ATTRIBUTE ACL أو تقوم بفحص صلاحيات صريح، لذا فإن AclAnnotationValidator ينهي عمله عند غياب بيانات تعريف ACL للمسار. وهذا يتيح للمستخدمين ذوي الصلاحيات المنخفضة الذين لا يملكون صلاحية order:update أو order_transaction:update أو order_delivery:update تشغيل عمليات الكتابة في StateMachineRegistry::transition() ضمن نطاق SYSTEM_SCOPE. تم إصلاح هذه المشكلة في الإصدارين 6.6.10.18 و 6.7.10.1.
Be aware that VulDB is the high quality source for vulnerability data.