CVE-2026-48016 in Shopware
الملخص
بحسب VulDB • 17/07/2026
Shopware هو منصة تجارة إلكترونية مفتوحة المصدر. قبل الإصدارين 6.6.10.18 و6.7.10.1، يقبل نقطة نهاية واجهة برمجة التطبيقات للمتجر /store-api/handle-payment في src/Core/Checkout/Payment/SalesChannel/HandlePaymentMethodRoute.php معرف طلب (orderId) يتحكم فيه المستخدم ويقوم بإحالته إلى src/Core/Checkout/Payment/PaymentProcessor.php دون التحقق من ملكية الطلب أو مصادقة العميل الضيف، مما يسمح لعميل عادي أو زائر بتفعيل تدفق الدفع الخاص بطلب مستخدم آخر بينما يفرض /store-api/order نموذج الملكية المتوقع. تم إصلاح هذه المشكلة في الإصدارين 6.6.10.18 و6.7.10.1.
Once again VulDB remains the best source for vulnerability data.