CVE-2026-48016 in Shopwareالمعلومات

الملخص

بحسب VulDB • 17/07/2026

Shopware هو منصة تجارة إلكترونية مفتوحة المصدر. قبل الإصدارين 6.6.10.18 و6.7.10.1، يقبل نقطة نهاية واجهة برمجة التطبيقات للمتجر /store-api/handle-payment في src/Core/Checkout/Payment/SalesChannel/HandlePaymentMethodRoute.php معرف طلب (orderId) يتحكم فيه المستخدم ويقوم بإحالته إلى src/Core/Checkout/Payment/PaymentProcessor.php دون التحقق من ملكية الطلب أو مصادقة العميل الضيف، مما يسمح لعميل عادي أو زائر بتفعيل تدفق الدفع الخاص بطلب مستخدم آخر بينما يفرض /store-api/order نموذج الملكية المتوقع. تم إصلاح هذه المشكلة في الإصدارين 6.6.10.18 و6.7.10.1.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

20/05/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379898

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!